CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-70841

Critical
Published: Translated: NVD NIST

Summary

Dokans Multi-Tenancy Based eCommerce Platform SaaS w wersji 3.9.2 pozwala nieautoryzowanym zdalnym atakującym na uzyskanie wrażliwych danych konfiguracyjnych aplikacji poprzez bezpośrednie żądanie do pliku /script/.env. Ujawniony plik zawiera klucz szyfrowania aplikacji Laravel (APP_KEY), dane uwierzytelniające bazy danych, dane uwierzytelniające SMTP/SendGrid oraz wewnętrzne parametry konfiguracyjne.

Risk Assessment

Ta podatność umożliwia całkowite przejęcie systemu, w tym obejście uwierzytelniania poprzez fałszowanie tokenów sesji, bezpośredni dostęp do bazy danych wszystkich danych najemców oraz przejęcie infrastruktury e-mailowej. Ze względu na architekturę wielonajemczości, podatność ta dotyczy wszystkich najemców w systemie.

Recommendation

Zaleca się zabezpieczenie pliku .env przed dostępem zdalnym oraz wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji. Należy również przeprowadzić audyt bezpieczeństwa systemu oraz zaktualizować aplikację do najnowszej wersji.

Original NVD description (English source)

Dokans Multi-Tenancy Based eCommerce Platform SaaS 3.9.2 allows unauthenticated remote attackers to obtain sensitive application configuration data via direct request to /script/.env file. The exposed file contains Laravel application encryption key (APP_KEY), database credentials, SMTP/SendGrid API credentials, and internal configuration parameters, enabling complete system compromise including authentication bypass via session token forgery, direct database access to all tenant data, and email infrastructure takeover. Due to the multi-tenancy architecture, this vulnerability affects all tenants in the system.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS