CVE-2026-24494
KrytyczneStreszczenie
Podatność SQL Injection w punkcie końcowym /api/integrations/getintegrations systemu zamówień Order Up Online Ordering System w wersji 1.0 pozwala nieautoryzowanemu atakującemu na dostęp do wrażliwych danych bazy danych backendu poprzez spreparowany parametr store_id w żądaniu POST.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń prywatności oraz utraty zaufania klientów.
Rekomendacja
Zaleca się wprowadzenie walidacji i sanitizacji danych wejściowych w punkcie końcowym oraz aktualizację systemu do najnowszej wersji, aby zminimalizować ryzyko ataków SQL Injection.
Oryginalny opis (angielski, źródło NVD)
SQL Injection vulnerability in the /api/integrations/getintegrations endpoint of Order Up Online Ordering System 1.0 allows an unauthenticated attacker to access sensitive backend database data via a crafted store_id parameter in a POST request.

