Intigriti Bug Bytes #235: NPM 40M downloads bị chiếm, Cloudflare WAF thủng, và series JWT 20 phần

Bản tin bug bounty tháng 4/2026 của Intigriti mang về 3 writeup đáng đọc: @0xLupin chiếm NPM package 40 triệu lượt tải/tuần trong tuần đầu đi làm, @YourFinalSin bypass Cloudflare WAF thành ATO, và @pingiskok xuất bản series khai thác JWT 20 phần. Điểm nhấn tooling: XNLDorker, OXML_XXE, URLHunter, CewlAI.