प्लेटफ़ॉर्म
other
घटक
order-up-online-ordering-system
में ठीक किया गया
1.0.1
Order Up Online Ordering System के संस्करण 1.0 में /api/integrations/getintegrations एंडपॉइंट में एक SQL Injection भेद्यता पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से संवेदनशील डेटाबेस जानकारी तक पहुंचने की अनुमति देती है। प्रभावित संस्करण 1.0 है। इस भेद्यता को ठीक करने के लिए तत्काल अपडेट की सिफारिश की जाती है।
यह SQL Injection भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति देती है, जिसमें उपयोगकर्ता क्रेडेंशियल, ऑर्डर विवरण और अन्य गोपनीय डेटा शामिल हो सकते हैं। हमलावर डेटाबेस को संशोधित या हटा भी सकते हैं, जिससे सिस्टम की कार्यक्षमता बाधित हो सकती है। इस भेद्यता का उपयोग आंतरिक नेटवर्क में आगे बढ़ने के लिए भी किया जा सकता है यदि डेटाबेस में अन्य प्रणालियों तक पहुंच है। यह भेद्यता Log4Shell जैसे अन्य SQL Injection भेद्यताओं के समान जोखिम पैदा करती है, जहां हमलावर डेटाबेस के माध्यम से सिस्टम पर नियंत्रण प्राप्त कर सकते हैं।
CVE-2026-24494 को सार्वजनिक रूप से 2026-02-23 को घोषित किया गया था। इस भेद्यता के लिए कोई सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (POC) ज्ञात नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है।
Organizations utilizing the Order Up Online Ordering System version 1.0, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple customers share the same database are especially vulnerable, as a successful attack could compromise data for all tenants.
• generic web: Use curl to test the /api/integrations/getintegrations endpoint with various store_id parameters containing SQL injection payloads (e.g., ' OR '1'='1).
curl -X POST -d "store_id=' OR '1'='1'" https://your-orderup-system/api/integrations/getintegrations• generic web: Monitor access logs for requests to /api/integrations/getintegrations with unusual or malformed store_id parameters.
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data access attempts.
• generic web: Examine response headers for unexpected content or error messages that might indicate SQL injection activity.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
Order Up Online Ordering System के नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो SQL Injection हमलों को ब्लॉक कर सके। सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। डेटाबेस उपयोगकर्ता खातों को न्यूनतम आवश्यक विशेषाधिकारों के साथ कॉन्फ़िगर करें। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /api/integrations/getintegrations एंडपॉइंट पर दुर्भावनापूर्ण SQL इंजेक्शन अनुरोध भेजकर।
ऑर्डर अप ऑनलाइन ऑर्डरिंग सिस्टम के पैच किए गए संस्करण में अपडेट करें। SpartansSec लेख में अनुशंसित शमन लागू करते हुए विक्रेता से ठीक किए गए संस्करण के लिए संपर्क करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24494 Order Up Online Ordering System के संस्करण 1.0 में /api/integrations/getintegrations एंडपॉइंट में एक SQL Injection भेद्यता है, जो हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्रदान करती है।
यदि आप Order Up Online Ordering System के संस्करण 1.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Order Up Online Ordering System के नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करें और इनपुट को मान्य करें।
हालांकि कोई सार्वजनिक POC ज्ञात नहीं है, भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
Order Up Online Ordering System के आधिकारिक सलाहकार के लिए, कृपया उनके सुरक्षा सलाहकार पृष्ठ की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।