关键漏洞信息 漏洞概述 CVEs: CVE-2026-27743, CVE-2026-27744, CVE-2026-27745, CVE-2026-27746, CVE-2026-27747 受影响插件: - referer_spam <= 1.2.1 - tickets <= 4.3.2 - interface_traduction_objets <= 2.2.1 - jeux <= 4.1.0 - interface_traduction_objets <= 2.2.1 漏洞类型: - SQL Injection - Remote Code Execution (RCE) - Cross-Site Scripting (XSS) 漏洞详情 CVE-2026-27743: SQL Injection in referer_spam 影响: 版本 <= 1.2.1 漏洞成因: 生活在两个地方直接将用户输入( )拼接到SQL中,未使用 或 或 。 利用方式: - 时间盲注注入(使用 延迟响应时间) - 通过字符假冒并服务端反射XSS CVE-2026-27744: RCE in tickets 影响: 版本 <= 4.3.2 漏洞成因: tickets插件在预览评论时,伪影( )表单值没有验证和净化,最终拼接到模板执行环境。 利用方式: - POST表单数据,执行远程命令执行 CVE-2026-27745: Authenticated RCE in interface_traduction_objets 影响: 版本 <= 2.2.1 漏洞成因: 与CVE-2025-71243相同的模板注入模式,用户输入被直接渲染执行。 利用方式: - 打破表单值的界限注入PHP代码 CVE-2026-27747: SQL Injection in the Same Plugin 影响: 版本 <= 2.2.1 漏洞成因: 拼接SQL时缺乏干净处理用户输入,导致SQL注入。 利用方式: - 基于时间的盲注注入 CVE-2026-27746: XSS in jeux 影响: 版本 <= 4.1.0 漏洞成因: 用户输入平均未正确编解码,拼接到HTML中。 利用方式: - 注入反射型XSS 安全建议 更新所有受影响插件至最新版本。 在使用任何第三方插件时,对漏洞进行独立审计与安全测试。