Platform
other
Component
order-up-online-ordering-system
Opgelost in
1.0.1
CVE-2026-24494 beschrijft een kritieke SQL Injection kwetsbaarheid in de Order Up Online Ordering System. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om gevoelige data uit de backend database te extraheren via een gemanipuleerde store_id parameter in een POST request naar de /api/integrations/getintegrations endpoint. De kwetsbaarheid treft versie 1.0 van de software. Een patch is beschikbaar, upgrade wordt aanbevolen.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de gehele backend database van de Order Up Online Ordering System. Dit omvat potentieel klantgegevens, orderinformatie, financiële details en andere gevoelige data. De aanvaller kan deze data stelen, wijzigen of verwijderen, wat kan resulteren in aanzienlijke financiële schade, reputatieschade en juridische gevolgen. De impact is vergelijkbaar met situaties waarin database credentials gecompromitteerd worden, waardoor een aanvaller volledige controle over de data krijgt. De kwetsbaarheid kan ook gebruikt worden om de applicatie te manipuleren en mogelijk toegang te krijgen tot andere systemen binnen het netwerk.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-02-23. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze kwetsbaarheid uitbuiten. De CVSS score van 9.8 duidt op een hoog risico. Er zijn geen bekende KEV vermeldingen op dit moment.
Organizations utilizing the Order Up Online Ordering System version 1.0, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple customers share the same database are especially vulnerable, as a successful attack could compromise data for all tenants.
• generic web: Use curl to test the /api/integrations/getintegrations endpoint with various store_id parameters containing SQL injection payloads (e.g., ' OR '1'='1).
curl -X POST -d "store_id=' OR '1'='1'" https://your-orderup-system/api/integrations/getintegrations• generic web: Monitor access logs for requests to /api/integrations/getintegrations with unusual or malformed store_id parameters.
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data access attempts.
• generic web: Examine response headers for unexpected content or error messages that might indicate SQL injection activity.
disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24494 is het upgraden naar een beveiligde versie van de Order Up Online Ordering System zodra deze beschikbaar is. Totdat de upgrade mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om POST requests naar de /api/integrations/getintegrations endpoint te filteren en kwaadaardige store_id parameters te blokkeren. Controleer de inputvalidatie op de serverzijde om te voorkomen dat ongefilterde data in SQL queries wordt gebruikt. Monitor de applicatielogs op verdachte SQL queries of pogingen tot data-extractie. Implementeer strikte toegangscontroles om de toegang tot de database te beperken tot geautoriseerde gebruikers.
Actualiseer naar een gepatchte versie van het Order Up Online Ordering System. Neem contact op met de leverancier voor de gecorrigeerde versie of pas de aanbevolen mitigaties toe in het SpartansSec artikel.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24494 is a critical SQL Injection vulnerability affecting Order Up Online Ordering System version 1.0, allowing unauthorized database access via a crafted request.
If you are using Order Up Online Ordering System version 1.0, you are potentially affected by this vulnerability and should implement mitigation strategies immediately.
A patch is pending. Implement input validation, WAF rules, and restrict access to the vulnerable endpoint until a fix is released.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Please refer to the Order Up Online Ordering System website or security channels for the official advisory regarding CVE-2026-24494.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.