kibty.town/blog/mintlify/ 非常推薦這篇部落格作者發現最有名的B2B文件服務Mintlify 多個漏洞 有一個簡單到令人吃驚: Mintlify 使用MDX(Markdown + JSX)渲染文檔,在伺服器端靜態產生頁面時未正確砂箱化JSX 表達式。透過插入惡意JSX(如fetch + eval)在伺服器端執行任意程式碼 如圖博客程式碼成功拿到各種環境變數。 最後作者拿到5000美金的獎勵評論裡網友都說太少了至少值100k
正在載入線程內容
正在從 X 取得原始推文,整理成清爽的閱讀畫面。
通常只需幾秒鐘,請稍候。