Plataforma
nodejs
Componente
anchorr
Corregido en
1.4.3
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Anchorr, un bot de Discord para gestionar solicitudes de películas y series. Esta vulnerabilidad, presente en versiones 1.4.1 y anteriores, permite a cualquier usuario de Discord en el servidor configurado ejecutar código JavaScript arbitrario en el navegador del administrador del bot. El impacto es crítico, ya que esta vulnerabilidad puede ser encadenada con el acceso a la API de configuración para robar credenciales sensibles.
La vulnerabilidad XSS almacenada en Anchorr permite a un atacante inyectar código JavaScript malicioso en el panel web del bot. Este código se ejecuta en el contexto del usuario administrador, otorgando al atacante acceso a las credenciales almacenadas en el bot. La API /api/config devuelve todas las claves y tokens en texto plano, incluyendo el token de Discord (DISCORD_TOKEN) y las claves de API de Jellyfin y Jellyseer. La exfiltración de estas credenciales permite al atacante tomar el control del bot, acceder a los servicios de medios asociados (Jellyfin, Jellyseer) y potencialmente comprometer otros sistemas conectados. Un atacante podría usar el token de Discord para enviar mensajes maliciosos a los usuarios del servidor o incluso tomar control del bot para realizar acciones no autorizadas.
Esta vulnerabilidad fue publicada el 2026-03-20. No se ha reportado su inclusión en el KEV de CISA, pero la severidad CRÍTICA indica una alta probabilidad de explotación. La disponibilidad de la API /api/config que expone credenciales en texto plano facilita significativamente la explotación. Se desconoce si existen pruebas de concepto (PoC) públicas activas, pero la naturaleza de la vulnerabilidad XSS y la exposición de credenciales la hacen un objetivo atractivo para los atacantes.
Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.
• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.
lsof -i -p $(pidof anchorr)• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.
grep '/api/config' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Anchorr a la versión 1.4.2 o superior, que corrige la vulnerabilidad XSS. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al panel web del bot solo a usuarios de confianza. Implementar una validación estricta de la entrada del usuario en el panel web puede ayudar a prevenir la inyección de código malicioso. Monitorear los logs del bot en busca de actividad sospechosa, como solicitudes inusuales a la API /api/config, puede ayudar a detectar un ataque en curso. Considerar la implementación de un Web Application Firewall (WAF) para filtrar tráfico malicioso.
Actualice Anchorr a la versión 1.4.2 o superior. Esta versión corrige la vulnerabilidad XSS almacenada y evita la exfiltración de credenciales sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32890 is a critical stored XSS vulnerability in Anchorr versions 1.4.1 and below. It allows unprivileged Discord users to execute JavaScript, potentially stealing sensitive credentials.
If you are using Anchorr version 1.4.1 or earlier, you are affected by this vulnerability. Upgrade to version 1.4.2 to mitigate the risk.
The recommended fix is to upgrade Anchorr to version 1.4.2 or later. If upgrading is not immediately possible, restrict access to the web dashboard and implement a Content Security Policy.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor your systems closely.
Refer to the Anchorr project's official repository or website for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.