Plateforme
nodejs
Composant
anchorr
Corrigé dans
1.4.3
Une vulnérabilité de Cross-Site Scripting (XSS) stocké a été découverte dans Anchorr, un bot Discord pour la gestion de médias. Cette faille, présente dans les versions 1.4.1 et antérieures, permet à un utilisateur Discord non privilégié de l'instance configurée d'exécuter du code JavaScript arbitraire dans le navigateur de l'administrateur Anchorr. La publication de cette vulnérabilité a eu lieu le 20 mars 2026, et une version corrigée (1.4.2) est désormais disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter le XSS stocké pour injecter du code malveillant dans le menu déroulant User Mapping du tableau de bord web d'Anchorr. L'exécution de ce code JavaScript dans le navigateur de l'administrateur permet à l'attaquant de compromettre le compte administrateur et d'accéder à des informations sensibles. Plus grave encore, en combinant cette attaque avec l'accès à l'endpoint /api/config (qui renvoie tous les secrets en clair), l'attaquant peut exfiltrer des informations d'identification critiques telles que le token Discord, les clés API Jellyfin et Jellyseerr. Cela pourrait permettre un contrôle total sur le bot et les services connectés, ainsi qu'un accès non autorisé aux données des utilisateurs.
Cette vulnérabilité est considérée comme critique en raison de son impact potentiel et de la facilité d'exploitation. Bien qu'aucune exploitation active confirmée n'ait été signalée à ce jour, la simplicité de l'attaque et la sensibilité des données compromises en font une cible potentielle pour les attaquants. La vulnérabilité a été publiée le 20 mars 2026, et il est probable que des preuves de concept (PoC) publiques seront disponibles prochainement. Il n'est pas encore listé sur le KEV de CISA.
Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.
• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.
lsof -i -p $(pidof anchorr)• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.
grep '/api/config' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Anchorr vers la version 1.4.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le menu déroulant User Mapping dans le tableau de bord web. En attendant la mise à jour, il est également possible de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant le menu déroulant. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité inhabituelle. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais la surveillance des requêtes POST vers le tableau de bord web peut aider à identifier les tentatives d'exploitation.
Mettez à jour Anchorr à la version 1.4.2 ou supérieure. Cette version corrige la vulnérabilité XSS stockée et empêche l'exfiltration d'identifiants sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32890 is a critical stored XSS vulnerability in Anchorr versions 1.4.1 and below. It allows unprivileged Discord users to execute JavaScript, potentially stealing sensitive credentials.
If you are using Anchorr version 1.4.1 or earlier, you are affected by this vulnerability. Upgrade to version 1.4.2 to mitigate the risk.
The recommended fix is to upgrade Anchorr to version 1.4.2 or later. If upgrading is not immediately possible, restrict access to the web dashboard and implement a Content Security Policy.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor your systems closely.
Refer to the Anchorr project's official repository or website for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.