Vulnerabilities ›

CVE-2026-28213

Critical

CWE-200 — Weakness Type

                    Published: Feb 26, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

9.8

🔗 NVD Official

📄 Description (English)

EverShop is a TypeScript-first eCommerce platform. Versions prior to 2.1.1 have a vulnerability in the "Forgot Password" functionality. When specifying a target email address, the API response returns the password reset token. This allows an attacker to take over the associated account. Version 2.1.1 fixes the issue.

🤖 AI Executive Summary

EverShop eCommerce platform versions before 2.1.1 expose password reset tokens in API responses, allowing attackers to hijack user accounts. The vulnerability exists in the Forgot Password functionality where the reset token is returned directly to unauthenticated requests.

📄 Description (Arabic)

تحتوي منصة EverShop للتجارة الإلكترونية على ثغرة خطيرة في وظيفة نسيان كلمة المرور حيث تكشف واجهة برمجة التطبيقات رمز إعادة تعيين كلمة المرور في الاستجابة. يمكن لأي مهاجم الوصول إلى رمز إعادة التعيين دون تفويض واستخدامه لتغيير كلمة مرور أي حساب مستخدم. تم إصلاح هذه الثغرة في الإصدار 2.1.1.

🤖 ملخص تنفيذي (AI)

منصة التجارة الإلكترونية EverShop في الإصدارات السابقة للإصدار 2.1.1 تكشف رموز إعادة تعيين كلمات المرور في استجابات API، مما يسمح للمهاجمين باختراق حسابات المستخدمين. يوجد الثغرة في وظيفة نسيان كلمة المرور حيث يتم إرجاع رمز إعادة التعيين مباشرة للطلبات غير المصرح بها.

🤖 AI Intelligence Analysis Analyzed: Apr 11, 2026 20:06

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1110 T1078 T1556

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade EverShop to version 2.1.1 or later. Implement API response filtering to never expose password reset tokens in responses. Conduct security audit of all authentication endpoints. Invalidate all existing password reset tokens and force users to request new ones. Implement rate limiting on password reset endpoints to prevent token enumeration attacks.

🔧 خطوات المعالجة (العربية)

قم بترقية EverShop فوراً إلى الإصدار 2.1.1 أو أحدث. تطبيق تصفية استجابة API لعدم كشف رموز إعادة تعيين كلمات المرور. إجراء تدقيق أمني لجميع نقاط نهاية المصادقة. إلغاء جميع رموز إعادة تعيين كلمات المرور الموجودة وإجبار المستخدمين على طلب رموز جديدة. تطبيق تحديد معدل على نقاط نهاية إعادة تعيين كلمة المرور لمنع هجمات تعداد الرموز.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 IA-2 IA-4

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/evershopcommerce/evershop/releases/tag/v2.1.1

security-advisories@github.com

Product Release Notes

🔗

https://github.com/evershopcommerce/evershop/security/advisories/GHSA-cg73-g723-39jw

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

evershop:evershop

📊 CVSS Score

9.8

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.8

CWECWE-200

Exploit No

Patch ✓ Yes

Published 2026-02-26

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-200

🏢 Vendor Advisories

🔗 https://github.com/evershopcommerce/evershop/securit...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-28213

Introduce Yourself

Sign In Required