CVE-2026-13527 影响 SourceCodester Class and Exam Timetabling System 1.0。该漏洞存在于 /preview4.php 文件的未知函数中，参数 course_year_section 存在 SQL 注入漏洞。攻击者可以远程发送恶意请求，无需认证即可利用此漏洞，通过注入 SQL 语句实现数据库的读取、修改或删除等操作。CVSS 评分为 7.3（高），攻击复杂度低，无需用户交互。目前该漏洞细节已公开，但官方尚未发布补丁。建议用户监控官方更新，并在未修复前限制对受影响页面的网络访问。