प्लेटफ़ॉर्म
nodejs
घटक
anchorr
में ठीक किया गया
1.4.3
CVE-2026-32890 Anchorr Discord बॉट में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता किसी भी अनधिकृत Discord उपयोगकर्ता को बॉट व्यवस्थापक के ब्राउज़र में मनमाना JavaScript निष्पादित करने की अनुमति देती है। इस भेद्यता का शोषण करने से संवेदनशील जानकारी, जैसे कि API कुंजियाँ और टोकन, चोरी हो सकते हैं। यह भेद्यता Anchorr के संस्करण 1.4.1 और उससे पहले को प्रभावित करती है। संस्करण 1.4.2 में अपडेट करके इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को Anchorr बॉट व्यवस्थापक के ब्राउज़र में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है। एक बार जब कोड इंजेक्ट हो जाता है, तो हमलावर व्यवस्थापक की ओर से बॉट के साथ इंटरैक्ट कर सकता है, संवेदनशील जानकारी तक पहुंच सकता है और बॉट के कार्यों को नियंत्रित कर सकता है। विशेष रूप से, /api/config एंडपॉइंट के माध्यम से सभी संग्रहीत गुप्तों (जैसे DISCORDTOKEN, JELLYFINAPIKEY, JELLYSEERRAPI_KEY) को उजागर किया जा सकता है। इस जानकारी का उपयोग बॉट को नियंत्रित करने, मीडिया सर्वर तक अनधिकृत पहुंच प्राप्त करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। इस भेद्यता का प्रभाव गंभीर है क्योंकि यह बॉट और उसके उपयोगकर्ताओं दोनों के लिए सुरक्षा जोखिम पैदा करता है।
CVE-2026-32890 को अभी तक CISA KEV सूची में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन XSS भेद्यता की गंभीरता और उजागर जानकारी के प्रकार को देखते हुए, सक्रिय शोषण की संभावना है। इस भेद्यता को 2026-03-20 को प्रकाशित किया गया था।
Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.
• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.
lsof -i -p $(pidof anchorr)• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.
grep '/api/config' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-32890 को कम करने का प्राथमिक तरीका Anchorr बॉट को संस्करण 1.4.2 में अपडेट करना है। यह संस्करण भेद्यता को ठीक करता है और बॉट को सुरक्षित करता है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी उपाय के रूप में, बॉट के वेब डैशबोर्ड तक पहुंच को केवल विश्वसनीय उपयोगकर्ताओं तक सीमित करना चाहिए। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) को XSS हमलों को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है। बॉट के कॉन्फ़िगरेशन फ़ाइलों में किसी भी संवेदनशील जानकारी को एन्क्रिप्ट करने पर विचार करें। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी बॉट की सुरक्षा को बनाए रखने में मदद कर सकते हैं।
Anchorr को संस्करण 1.4.2 या उससे ऊपर के संस्करण में अपडेट करें। यह संस्करण संग्रहीत XSS भेद्यता को ठीक करता है और संवेदनशील क्रेडेंशियल (credentials) के एक्सफ़िल्ट्रेशन (exfiltration) को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32890 Anchorr Discord बॉट के वेब डैशबोर्ड में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को व्यवस्थापक ब्राउज़र में JavaScript चलाने की अनुमति देती है।
यदि आप Anchorr Discord बॉट के संस्करण 1.4.1 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-32890 को ठीक करने के लिए, Anchorr Discord बॉट को संस्करण 1.4.2 में अपडेट करें।
CVE-2026-32890 के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी नहीं है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
आधिकारिक Anchorr सलाहकार के लिए, कृपया Anchorr के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।