Platform
nodejs
Component
anchorr
Opgelost in
1.4.3
CVE-2026-32890 beschrijft een kritieke Cross-site Scripting (XSS) kwetsbaarheid in Anchorr, een Discord bot voor het aanvragen van films en tv-series. Deze kwetsbaarheid, aanwezig in versies 1.4.1 en lager, stelt ongeprivilegieerde Discord gebruikers in staat om willekeurige JavaScript code uit te voeren in de browser van de beheerder. De kwetsbaarheid is opgelost in versie 1.4.2.
De impact van deze XSS kwetsbaarheid is aanzienlijk. Een aanvaller kan via de web dashboard's User Mapping dropdown kwaadaardige JavaScript injecteren. Deze code kan vervolgens worden gebruikt om gevoelige informatie te stelen, zoals de DISCORD_TOKEN, Jellyfin API keys en Jellyseerr API keys, die allemaal in platte tekst worden geretourneerd via de /api/config endpoint. Het compromitteren van deze credentials geeft de aanvaller volledige controle over de bot en de gekoppelde media servers. Dit kan leiden tot data-exfiltratie, ongeautoriseerde toegang tot media content en verdere misbruik van de bot in de Discord server.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de eenvoudige exploitatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico verhoogt.
Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.
• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.
lsof -i -p $(pidof anchorr)• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.
grep '/api/config' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Anchorr versie 1.4.2 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de toegang tot het web dashboard helpen. Implementeer strikte toegangscontroles en zorg ervoor dat alleen geautoriseerde beheerders toegang hebben. Het monitoren van de /api/config endpoint op ongebruikelijke activiteit kan ook helpen bij het detecteren van pogingen tot misbruik. Er zijn geen specifieke WAF regels of Sigma/YARA patronen beschikbaar voor deze specifieke XSS kwetsbaarheid, maar algemene XSS detectie regels kunnen helpen.
Actualiseer Anchorr naar versie 1.4.2 of hoger. Deze versie corrigeert de stored XSS kwetsbaarheid en voorkomt de exfiltratie van gevoelige credentials.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32890 is a critical stored XSS vulnerability in Anchorr versions 1.4.1 and below. It allows unprivileged Discord users to execute JavaScript, potentially stealing sensitive credentials.
If you are using Anchorr version 1.4.1 or earlier, you are affected by this vulnerability. Upgrade to version 1.4.2 to mitigate the risk.
The recommended fix is to upgrade Anchorr to version 1.4.2 or later. If upgrading is not immediately possible, restrict access to the web dashboard and implement a Content Security Policy.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor your systems closely.
Refer to the Anchorr project's official repository or website for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.