Anchorr: ユーザーマッピングのドロップダウンに存在するStored XSSにより、権限のないDiscordユーザーが/api/config経由で全てのシークレットを外部に持ち出すことができる

このXSS脆弱性は、攻撃者がAnchorrの管理者権限を持つユーザーのブラウザ上で任意のJavaScriptコードを実行することを可能にします。攻撃者は、この脆弱性を悪用して、Anchorrが保存している機密情報を盗み出す可能性があります。具体的には、Discordのトークン(DISCORDTOKEN)、Jellyfin APIキー(JELLYFINAPIKEY)、Jellyseerr APIキー(JELLYSEERRAPI_KEY)などが危険にさらされます。これらの情報が漏洩した場合、攻撃者はDiscordサーバーを乗っ取ったり、メディアライブラリに不正アクセスしたりする可能性があります。この脆弱性は、類似のXSS攻撃と同様に、広範囲な影響を及ぼす可能性があります。

Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.

• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.

lsof -i -p $(pidof anchorr)

• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.

grep '/api/config' /var/log/apache2/access.log

1. 2026-03-20Disclosure

   disclosure

1. 予約済み2026-03-16
2. 公開日2026-03-20
3. EPSS 更新日2026-03-27

この脆弱性への最も効果的な対策は、Anchorrをバージョン1.4.2にアップデートすることです。アップデートが利用できない場合、一時的な緩和策として、ウェブダッシュボードへのアクセスを制限し、信頼できるユーザーのみにアクセス権を付与することを検討してください。また、WAF（Web Application Firewall）を導入し、XSS攻撃のパターンを検知・ブロックするルールを設定することも有効です。Anchorrのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、ウェブダッシュボードにアクセスし、正常に動作することを確認してください。