Katalog CVE

CVE-2026-24494

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność SQL Injection w punkcie końcowym /api/integrations/getintegrations systemu zamówień Order Up Online Ordering System w wersji 1.0 pozwala nieautoryzowanemu atakującemu na dostęp do wrażliwych danych bazy danych backendu poprzez spreparowany parametr store_id w żądaniu POST.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych danych, co może prowadzić do poważnych naruszeń prywatności oraz utraty zaufania klientów.

Rekomendacja

Zaleca się wprowadzenie walidacji i sanitizacji danych wejściowych w punkcie końcowym oraz aktualizację systemu do najnowszej wersji, aby zminimalizować ryzyko ataków SQL Injection.

Oryginalny opis (angielski, źródło NVD)

SQL Injection vulnerability in the /api/integrations/getintegrations endpoint of Order Up Online Ordering System 1.0 allows an unauthenticated attacker to access sensitive backend database data via a crafted store_id parameter in a POST request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS