CVE-2026-24494
CriticalSummary
Podatność SQL Injection w punkcie końcowym /api/integrations/getintegrations systemu zamówień Order Up Online Ordering System w wersji 1.0 pozwala nieautoryzowanemu atakującemu na dostęp do wrażliwych danych bazy danych backendu poprzez spreparowany parametr store_id w żądaniu POST.
Risk Assessment
Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń prywatności oraz utraty zaufania klientów.
Recommendation
Zaleca się wprowadzenie walidacji i sanitizacji danych wejściowych w punkcie końcowym oraz aktualizację systemu do najnowszej wersji, aby zminimalizować ryzyko ataków SQL Injection.
Original NVD description (English source)
SQL Injection vulnerability in the /api/integrations/getintegrations endpoint of Order Up Online Ordering System 1.0 allows an unauthenticated attacker to access sensitive backend database data via a crafted store_id parameter in a POST request.

