CVE-2025-70841 in Multi-Tenancy Based eCommerce Platform SaaSinfo

Zusammenfassung

von VulDB • 13.05.2026

In der Dokans Multi-Tenancy Based eCommerce Platform SaaS 3.9.2 können nicht authentifizierte Remote-Angriffssensitive Anwendungs-Konfigurationsdaten durch direkte Anforderung der Datei /script/.env erhalten. Die exponierte Datei enthält den Laravel-Anwendungsverschlüsselungsschlüssel (APP_KEY), Datenbankzugangsdaten, SMTP/SendGrid-API-Zugangsdaten und interne Konfigurationsparameter, was einen vollständigen Systemkompromittierung ermöglicht, einschließlich Umgehung der Authentifizierung durch Fälschung von Sitzungstokens, direktem Datenbankzugriff auf alle Mandantendaten und Übernahme der E-Mail-Infrastruktur. Aufgrund der Multi-Tenancy-Architektur betrifft diese Schwachstelle alle Mandanten im System.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

MITRE

Reservieren

09.01.2026

Veröffentlichung

03.02.2026

Moderieren

akzeptiert

Eintrag

VDB-344139

CPE

bereit

EPSS

0.00100

KEV

nein

Aktivitäten

very low

Sektor

Transportation, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-70841
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-70841
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-70841/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!