diff --git a/docs/PHASE2_PLAN.md b/docs/PHASE2_PLAN.md
index d1f8d68..772b99f 100644
--- a/docs/PHASE2_PLAN.md
+++ b/docs/PHASE2_PLAN.md
@@ -73,7 +73,8 @@ var specBaseId = self.specBaseIdMap[seatKey] || 0;
 |------|------|
 | 模板渲染 | ✅ 正常 |
 | 票务 footer | ✅ 已精简 |
-| Task 1: C端票夹 | ✅ 完成（2026-04-24，票夹页面 + API + 返回按钮，详见 Issue #21） |
+| Task 1: C端票夹 | ✅ 完成（2026-04-24，票夹页面 + API + JsBarcode本地化，详见 [Issue #22](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/22)） |
 | Issue #13 实现（v3.0 落地） | ⚠️ 待动手 |
-| B端核销 API + 页面 | ⏳ 开发中 |
+| B端核销 API + 页面 | ❌ 未开始（Issue #21 状态有误，已关闭，正确状态见 Issue #22） |
 | 后台 4 控制器联调 | ❌ 未开始 |
+| Issue #7 安全问题（M-04/M-06优先） | ⚠️ B端开发前必须处理 |
diff --git a/docs/PHASE_4_PLAN.md b/docs/PHASE_4_PLAN.md
index 0fb45a4..3d88216 100644
--- a/docs/PHASE_4_PLAN.md
+++ b/docs/PHASE_4_PLAN.md
@@ -1,8 +1,9 @@
 # Phase 4 规划：发票 · 核销 · 票夹
 
 > 规划日期：2026-04-22
-> 最后更新：2026-04-23（算法变更：Feistel-8 → HMAC-XOR，BUG修复）
-> 状态：**Phase 4.1/4.2 已完成，B端核销进行中**
+> 最后更新：2026-04-25（JsBarcode本地化修复 + 状态追踪重置）
+> 状态：**Phase 4.1/4.2/4.3 完成，B端核销待开发，安全问题M-04/M-06优先**
+> 进度追踪：[Issue #22](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/22) | 安全问题：[Issue #7](http://xmhome.gitop.top:3000/sileya-ai/vr-shopxo-plugin/issues/7)（全未修复）
 
 ---
 
@@ -486,29 +487,36 @@ shopxo/app/plugins/vr_ticket/
 
 ```
 Phase 4.1 — 基础设施
-  ├─ BaseService: Feistel8 encode/decode
-  ├─ BaseService: signQrPayload / verifyQrPayload
-  ├─ BaseService: shortCodeEncode / shortCodeDecode
-  └─ DB Migration: 002_ticket_wallet.sql
+  ├─ BaseService: Feistel8 encode/decode ✅
+  ├─ BaseService: signQrPayload / verifyQrPayload ✅
+  ├─ BaseService: shortCodeEncode / shortCodeDecode ✅
+  └─ DB Migration: 002_ticket_wallet.sql ✅
 
-Phase 4.2 — 出票链路（最关键）
-  ├─ TicketService::onOrderPaid: 适配5维spec解析
-  ├─ TicketService::issueTicket: JWT签名QR + 写入
-  └─ 联调：支付成功 → 查 vr_tickets 有记录
+Phase 4.2 — 出票链路（最关键）✅
+  ├─ TicketService::onOrderPaid: 适配5维spec解析 ✅
+  ├─ TicketService::issueTicket: JWT签名QR + 写入 ✅
+  └─ 联调：支付成功 → 查 vr_tickets 有记录 ✅
 
-Phase 4.3 — C端票夹
-  ├─ api/controller/Ticket.php
-  ├─ WalletService.php
-  ├─ ticket_wallet.html
-  ├─ ticket_card.html
-  └─ QR本地缓存逻辑
+Phase 4.3 — C端票夹 ✅（2026-04-24）
+  ├─ api/controller/Ticket.php ✅
+  ├─ WalletService.php ✅
+  ├─ ticket_wallet.html ✅
+  ├─ ticket_card.html ✅
+  ├─ QR本地缓存逻辑 ✅
+  └─ JsBarcode本地化 ✅（2026-04-25，cdn.jsdelivr → ShopXO自带）
 
-Phase 4.4 — B端核销
+**⚠️ 安全问题先修（Issue #7，全未修复）**：
+  ├─ M-04: loadSoldSeats()未实现 → 超卖风险 ✅
+  └─ M-06: Admin控制器无权限校验 → B端安全基线
+
+Phase 4.4 — B端核销 ❌ 未开始
   ├─ admin/controller/Ticket.php: verifySubmit
   ├─ admin/view/ticket/verify.html
+  ├─ M-01 TOCTOU原子更新
+  ├─ M-02/M-05 verifier_id鉴权
   └─ 联调：扫码 → 核销成功 → vr_verifications有记录
 
-Phase 4.5 — 全链路验证
+Phase 4.5 — 全链路验证 ❌ 未开始
   └─ 完整流程: 选座→下单→支付→出票→票夹展示→核销
 ```