kibty.town/blog/mintlify/ 이 블로그 게시글은 저자가 가장 인기 있는 B2B 문서 서비스인 Mintlify에서 여러 취약점을 발견한 내용을 담고 있으므로 적극 추천합니다. 놀랍도록 간단한 답이 하나 있습니다. Mintlify는 MDX(Markdown + JSX)를 사용하여 문서를 렌더링하지만, 서버 측에서 페이지를 정적으로 생성할 때 JSX 표현식을 제대로 샌드박싱하지 않습니다. 이로 인해 악의적인 JSX 표현식(예: fetch + eval)이 삽입되어 서버 측에서 임의 코드 실행이 가능해집니다. 이미지에 표시된 블로그 게시물의 코드는 다양한 환경 변수를 성공적으로 가져왔습니다. 결국 작가는 5,000달러의 보상금을 받았는데, 많은 네티즌들은 최소 10만 달러는 받아야 마땅한데 너무 적은 금액이라고 댓글을 달았습니다.
