⚠️ Prova de Conceito — HackerOne. Esta página (origin fetch(..., {credentials:'include'}) para auth-meli.adminml.com (meli.okta.com). Se você estiver logado no Okta corporativo, o navegador entrega os dados abaixo a este site de terceiro — demonstrando a falha de CORS. Nenhum dado é usado fora desta demonstração.
Dados lidos cross-origin da sua sessão Okta corporativa
Lendo sua sessão Okta…
Se aparecer Invalid session / 401, você não está logado no meli.okta.com neste navegador — abra estando logado para ver o vazamento real (HTTP 200 + seu perfil).