CVE-2025-70841 in Multi-Tenancy Based eCommerce Platform SaaSinformación

Resumen

por VulDB • 2026-05-24

La plataforma SaaS de comercio electrónico basada en multi-tenancy de Dokans 3.9.2 permite a atacantes remotos no autenticados obtener datos sensibles de configuración de la aplicación mediante una solicitud directa al archivo /script/.env. El archivo expuesto contiene la clave de cifrado de la aplicación Laravel (APP_KEY), credenciales de base de datos, credenciales de API de SMTP/SendGrid y parámetros de configuración interna, lo que permite una compromiso total del sistema, incluyendo eludir la autenticación mediante la falsificación de tokens de sesión, acceso directo a la base de datos para obtener todos los datos de los inquilinos y la toma de control de la infraestructura de correo electrónico. Debido a la arquitectura de multi-tenancy, esta vulnerabilidad afecta a todos los inquilinos del sistema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

MITRE

Reservar

2026-01-09

Divulgación

2026-02-03

Moderación

aceptado

Artículo

VDB-344139

CPE

listo

EPSS

0.00100

KEV

no

Actividades

muy bajo

Sector

Hostingprovider, Transportation, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-70841
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-70841
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-70841/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!