Plateforme
other
Composant
order-up-online-ordering-system
Corrigé dans
1.0.1
Une vulnérabilité de type SQL Injection a été découverte dans Order Up Online Ordering System, affectant la version 1.0. Cette faille critique permet à un attaquant non authentifié d'accéder à des données sensibles stockées dans la base de données backend. L'exploitation se fait via la manipulation du paramètre store_id dans une requête POST adressée à l'endpoint /api/integrations/getintegrations.
L'impact de cette vulnérabilité est significatif. Un attaquant capable d'exploiter cette faille peut potentiellement extraire l'intégralité de la base de données, y compris les informations sensibles telles que les données clients, les informations de paiement, les mots de passe hachés et d'autres données confidentielles. Cette extraction de données peut entraîner une violation de la confidentialité, une perte financière pour l'entreprise et ses clients, et une atteinte à la réputation. De plus, l'accès à la base de données pourrait permettre à l'attaquant de modifier les données, d'injecter du code malveillant ou de prendre le contrôle du système.
Cette vulnérabilité a été rendue publique le 23 février 2026. Sa sévérité critique (CVSS 9.8) indique une probabilité d'exploitation élevée. Bien qu'aucun exploit public n'ait été confirmé à ce jour, la nature de la vulnérabilité (SQL Injection) la rend facilement exploitable et susceptible d'attirer l'attention des attaquants. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les exploits pour détecter toute activité malveillante.
Organizations utilizing the Order Up Online Ordering System version 1.0, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple customers share the same database are especially vulnerable, as a successful attack could compromise data for all tenants.
• generic web: Use curl to test the /api/integrations/getintegrations endpoint with various store_id parameters containing SQL injection payloads (e.g., ' OR '1'='1).
curl -X POST -d "store_id=' OR '1'='1'" https://your-orderup-system/api/integrations/getintegrations• generic web: Monitor access logs for requests to /api/integrations/getintegrations with unusual or malformed store_id parameters.
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data access attempts.
• generic web: Examine response headers for unexpected content or error messages that might indicate SQL injection activity.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Order Up Online Ordering System vers la version corrigée dès que possible. En attendant la mise à jour, il est recommandé de désactiver temporairement l'endpoint /api/integrations/getintegrations si cela n'affecte pas les fonctionnalités essentielles du système. Une autre mesure temporaire consiste à implémenter une validation stricte des entrées sur le paramètre store_id, en s'assurant qu'il correspond à un format attendu et qu'il ne contient pas de caractères malveillants. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettre à jour vers une version corrigée du système Order Up Online Ordering System. Contacter le fournisseur pour obtenir la version corrigée ou appliquer les mesures d'atténuation recommandées dans l'article de SpartansSec.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24494 is a critical SQL Injection vulnerability affecting Order Up Online Ordering System version 1.0, allowing unauthorized database access via a crafted request.
If you are using Order Up Online Ordering System version 1.0, you are potentially affected by this vulnerability and should implement mitigation strategies immediately.
A patch is pending. Implement input validation, WAF rules, and restrict access to the vulnerable endpoint until a fix is released.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Please refer to the Order Up Online Ordering System website or security channels for the official advisory regarding CVE-2026-24494.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.