EverShop is a TypeScript-first eCommerce platform. Versions prior to 2.1.1 have a vulnerability in the "Forgot Password" functionality. When specifying a target email address, the API response returns the password reset token. This allows an attacker to take over the associated account. Version 2.1.1 fixes the issue.
EverShop eCommerce platform versions before 2.1.1 expose password reset tokens in API responses, allowing attackers to hijack user accounts. The vulnerability exists in the Forgot Password functionality where the reset token is returned directly to unauthenticated requests.
تحتوي منصة EverShop للتجارة الإلكترونية على ثغرة خطيرة في وظيفة نسيان كلمة المرور حيث تكشف واجهة برمجة التطبيقات رمز إعادة تعيين كلمة المرور في الاستجابة. يمكن لأي مهاجم الوصول إلى رمز إعادة التعيين دون تفويض واستخدامه لتغيير كلمة مرور أي حساب مستخدم. تم إصلاح هذه الثغرة في الإصدار 2.1.1.
منصة التجارة الإلكترونية EverShop في الإصدارات السابقة للإصدار 2.1.1 تكشف رموز إعادة تعيين كلمات المرور في استجابات API، مما يسمح للمهاجمين باختراق حسابات المستخدمين. يوجد الثغرة في وظيفة نسيان كلمة المرور حيث يتم إرجاع رمز إعادة التعيين مباشرة للطلبات غير المصرح بها.
Immediately upgrade EverShop to version 2.1.1 or later. Implement API response filtering to never expose password reset tokens in responses. Conduct security audit of all authentication endpoints. Invalidate all existing password reset tokens and force users to request new ones. Implement rate limiting on password reset endpoints to prevent token enumeration attacks.
قم بترقية EverShop فوراً إلى الإصدار 2.1.1 أو أحدث. تطبيق تصفية استجابة API لعدم كشف رموز إعادة تعيين كلمات المرور. إجراء تدقيق أمني لجميع نقاط نهاية المصادقة. إلغاء جميع رموز إعادة تعيين كلمات المرور الموجودة وإجبار المستخدمين على طلب رموز جديدة. تطبيق تحديد معدل على نقاط نهاية إعادة تعيين كلمة المرور لمنع هجمات تعداد الرموز.