Sourcing: Уязвимость: Злоумышленник (или застрявший скрипт) может отправить POST/PUT/PATCH запрос напрямую к API-эндпоинту обновления тендера, игнорируя UI. Если API не проверяет текущий статус в БД перед записью, оплаченный тендер будет перезаписан или поврежден. Что тестировать/искать: Выполни поиск по API-роутам или Server Actions, которые сохраняют тендер: