https://blog.qife122.com/tags/cve-2025-67846/ Recent content in CVE-2025-67846 on 办公AI智能小助手 Hugo zh-cn qife Sat, 03 Jan 2026 20:41:33 +0800 https://blog.qife122.com/p/mintlify%E5%B9%B3%E5%8F%B0%E9%83%A8%E7%BD%B2%E6%BC%8F%E6%B4%9E%E5%8F%AF%E9%A2%84%E6%B5%8B%E6%A0%87%E8%AF%86%E7%AC%A6%E5%AF%BC%E8%87%B4%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81%E8%A2%AB%E7%BB%95%E8%BF%87/ Sat, 03 Jan 2026 20:41:33 +0800 https://blog.qife122.com/p/mintlify%E5%B9%B3%E5%8F%B0%E9%83%A8%E7%BD%B2%E6%BC%8F%E6%B4%9E%E5%8F%AF%E9%A2%84%E6%B5%8B%E6%A0%87%E8%AF%86%E7%AC%A6%E5%AF%BC%E8%87%B4%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81%E8%A2%AB%E7%BB%95%E8%BF%87/ <h1 id="cve-2025-67846-cwe-472-对假定不可变web参数的外部控制mintlify-mintlify-platform">CVE-2025-67846: CWE-472 对假定不可变Web参数的外部控制（Mintlify Mintlify Platform）</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-67846">CVE-2025-67846</h2> <p>2025年11月15日之前的Mintlify Platform中的部署基础设施，允许远程攻击者通过Vercel预览域上的可预测部署标识符来绕过安全补丁并执行降级攻击。攻击者可以识别包含未修补漏洞的先前部署的URL结构。通过直接浏览特定的 <code>git-ref</code> 或 <code>deployment-id</code> 子域，攻击者可以强制应用程序加载存在漏洞的版本。</p>