CVE-2026-28213
KrytyczneStreszczenie
EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.1.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć konta użytkowników.
Oryginalny opis (angielski, źródło NVD)
EverShop is a TypeScript-first eCommerce platform. Versions prior to 2.1.1 have a vulnerability in the "Forgot Password" functionality. When specifying a target email address, the API response returns the password reset token. This allows an attacker to take over the associated account. Version 2.1.1 fixes the issue.

