プラットフォーム
other
コンポーネント
order-up-online-ordering-system
修正版
1.0.1
CVE-2026-24494は、Order Up Online Ordering Systemの/api/integrations/getintegrationsエンドポイントに存在するSQLインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしでバックエンドデータベースの機密情報を取得する可能性があります。影響を受けるバージョンは1.0です。2026年2月23日に公開されており、修正プログラムの適用が推奨されます。
このSQLインジェクション脆弱性は、攻撃者にとって非常に危険です。攻撃者は、不正なSQLクエリを注入することで、データベース内のすべてのデータにアクセスし、改ざん、削除、または盗難を実行する可能性があります。特に、顧客の個人情報、クレジットカード情報、注文履歴などの機密データが危険にさらされます。攻撃者は、この脆弱性を利用して、データベースを完全に制御し、システム全体へのアクセス権を取得する可能性もあります。類似のSQLインジェクション攻撃は、過去に多くの企業でデータ漏洩やシステム停止を引き起こしており、深刻なビジネスへの影響が懸念されます。
CVE-2026-24494は、2026年2月23日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、SQLインジェクションの脆弱性は一般的に悪用されやすく、攻撃者によるスキャンや攻撃が予想されます。CISAのKEVリストへの登録状況は不明ですが、CVSSスコアがCRITICALであるため、潜在的なリスクが高いと考えられます。
Organizations utilizing the Order Up Online Ordering System version 1.0, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple customers share the same database are especially vulnerable, as a successful attack could compromise data for all tenants.
• generic web: Use curl to test the /api/integrations/getintegrations endpoint with various store_id parameters containing SQL injection payloads (e.g., ' OR '1'='1).
curl -X POST -d "store_id=' OR '1'='1'" https://your-orderup-system/api/integrations/getintegrations• generic web: Monitor access logs for requests to /api/integrations/getintegrations with unusual or malformed store_id parameters.
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data access attempts.
• generic web: Examine response headers for unexpected content or error messages that might indicate SQL injection activity.
disclosure
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずOrder Up Online Ordering Systemを最新バージョンにアップデートすることが最優先です。アップデートが利用できない場合は、Webアプリケーションファイアウォール(WAF)を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、不正なSQLクエリが実行されないように対策を講じることが重要です。データベースのアクセス権限を最小限に制限し、不要なユーザーへのアクセスを遮断することも有効です。アップデート後、/api/integrations/getintegrationsエンドポイントに対して、無害なSQLクエリを送信し、エラーが発生しないことを確認してください。
Order Up Online Ordering Systemのパッチが適用されたバージョンにアップデートしてください。修正版を入手するためにベンダーに連絡するか、SpartansSecの記事で推奨される軽減策を適用してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-24494は、Order Up Online Ordering Systemの/api/integrations/getintegrationsエンドポイントにおけるSQLインジェクション脆弱性であり、攻撃者がデータベースの機密データにアクセスする可能性があります。
はい、Order Up Online Ordering Systemのバージョン1.0がこの脆弱性の影響を受けます。
Order Up Online Ordering Systemを最新バージョンにアップデートするか、WAFを導入してSQLインジェクション攻撃を防御してください。
現時点では公開PoCは確認されていませんが、SQLインジェクションの脆弱性は一般的に悪用されやすいため、注意が必要です。
Order Up Online Ordering Systemの公式ウェブサイトまたはセキュリティページでアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。