Plataforma
other
Componente
order-up-online-ordering-system
Corrigido em
1.0.1
Uma vulnerabilidade de SQL Injection foi descoberta no endpoint /api/integrations/getintegrations do Order Up Online Ordering System versão 1.0. Um atacante não autenticado pode explorar essa falha para acessar dados sensíveis armazenados no banco de dados backend, manipulando o parâmetro store_id em uma requisição POST. A vulnerabilidade foi publicada em 23 de fevereiro de 2026 e a correção oficial do fornecedor é esperada.
A exploração bem-sucedida desta vulnerabilidade de SQL Injection permite que um atacante obtenha acesso não autorizado a informações confidenciais armazenadas no banco de dados do Order Up Online Ordering System. Isso pode incluir dados de clientes, informações de pedidos, credenciais de funcionários e outros dados sensíveis. Um atacante pode usar essas informações para roubo de identidade, fraude financeira ou para comprometer ainda mais o sistema. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu impacto, tornando-a acessível a qualquer pessoa com acesso à rede.
A vulnerabilidade CVE-2026-24494 foi divulgada publicamente em 23 de fevereiro de 2026. Não há informações disponíveis sobre a inclusão desta CVE no KEV da CISA ou sobre a existência de provas de conceito (PoCs) publicamente disponíveis. A probabilidade de exploração ativa é considerada baixa a média, dependendo da visibilidade do sistema e da adoção de medidas de mitigação.
Organizations utilizing the Order Up Online Ordering System version 1.0, particularly those handling sensitive customer data or financial transactions, are at significant risk. Shared hosting environments where multiple customers share the same database are especially vulnerable, as a successful attack could compromise data for all tenants.
• generic web: Use curl to test the /api/integrations/getintegrations endpoint with various store_id parameters containing SQL injection payloads (e.g., ' OR '1'='1).
curl -X POST -d "store_id=' OR '1'='1'" https://your-orderup-system/api/integrations/getintegrations• generic web: Monitor access logs for requests to /api/integrations/getintegrations with unusual or malformed store_id parameters.
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data access attempts.
• generic web: Examine response headers for unexpected content or error messages that might indicate SQL injection activity.
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
Como a correção oficial do fornecedor ainda não foi lançada, a mitigação imediata deve se concentrar em medidas de proteção adicionais. Implemente um firewall de aplicação web (WAF) para filtrar requisições maliciosas e bloquear tentativas de injeção de SQL. Configure regras no WAF para inspecionar o parâmetro store_id e bloquear requisições que contenham caracteres suspeitos ou padrões de SQL Injection. Além disso, revise e reforce as configurações de segurança do banco de dados, incluindo a aplicação de princípios de menor privilégio e a desativação de recursos desnecessários. Após a disponibilização da correção, atualize imediatamente o sistema para a versão corrigida.
Atualizar para uma versão corrigida do sistema Order Up Online Ordering System. Contactar o fornecedor para obter a versão corrigida ou aplicar as mitigações recomendadas no artigo da SpartansSec.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24494 is a critical SQL Injection vulnerability affecting Order Up Online Ordering System version 1.0, allowing unauthorized database access via a crafted request.
If you are using Order Up Online Ordering System version 1.0, you are potentially affected by this vulnerability and should implement mitigation strategies immediately.
A patch is pending. Implement input validation, WAF rules, and restrict access to the vulnerable endpoint until a fix is released.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Please refer to the Order Up Online Ordering System website or security channels for the official advisory regarding CVE-2026-24494.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.