漏洞概述 1. Stored XSS in PDF layout editor [HIGH] - CVE ID: CVE-2026-57532 - 描述: 恶意HTML内容可注入到PDF票证或徽章布局的布局规范中,当PDF编辑器在浏览器中打开时执行。 - 严重性: 高 2. Reflected XSS in redirection page [LOW] - CVE ID: CVE-2026-57533 - 描述: 恶意HTML内容可注入到重定向页面,用于钓鱼目的。 - 严重性: 低 3. SSRF through HTML injection in PDF rendering [LOW] - CVE ID: CVE-2026-57535 - 描述: 注入到PDF渲染上下文的内容可能包含指向URL的 标签,导致PDF渲染引擎下载图像并泄露信息。 - 严重性: 低 4. Stored XSS in ticket confirmation page [MEDIUM] - CVE ID: CVE-2026-13225 - 描述: 恶意HTML内容可注入到订单的电子邮件地址,预文本显示时未进行消毒。 - 严重性: 中 5. Stored XSS in pretix-pages [LOW] - CVE ID: CVE-2026-57534 - 描述: 恶意HTML内容可注入到 插件的内容中。 - 严重性: 低 6. Insufficient validation of payment status in pretix-mollie [MEDIUM] - CVE ID: CVE-2026-57536 - 描述: 支付集成未正确验证支付状态响应,可能导致多次有效票证仅支付一次。 - 严重性: 中 7. Insufficient validation of payment status in pretix-opppwa [MEDIUM] - CVE ID: CVE-2026-13222 - 描述: 支付集成未正确验证支付状态响应,可能导致多次有效票证仅支付一次。 - 严重性: 中 8. Insufficient validation of payment status in pretix-computop [MEDIUM] - CVE ID: CVE-2026-13223 - 描述: 支付集成未正确验证支付状态响应,可能导致多次有效票证仅支付一次。 - 严重性: 中 9. Stored XSS in pretix-digital [LOW] - CVE ID: CVE-2026-13314 - 描述: 恶意HTML内容可注入到 插件的内容中。 - 严重性: 低 影响范围 所有当前支持的版本(除以下固定版本外)均受影响。 固定版本: - pretix 2026.5.2, 2026.4.4, 2026.3.4 - pretix-pages 1.6.4 - pretix-mollie 2.5.6 - pretix-opppwa 1.4.3 - pretix-computop 1.3.2 - pretix-digital 1.6.5 (Enterprise plugin) 修复方案 升级版本: 升级到上述固定版本。 API变更: 信号返回类型从 改为 。 插件弃用: 插件已弃用,但发布了1.1.2版本作为最终修复。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。