Plataforma
nodejs
Componente
anchorr
Corrigido em
1.4.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Anchorr, um bot Discord para gerenciamento de mídia. Essa falha, presente em versões 1.4.1 e anteriores, permite que qualquer usuário Discord não privilegiado no servidor configurado execute código JavaScript arbitrário no navegador do administrador do Anchorr. A exploração bem-sucedida pode levar à exfiltração de credenciais sensíveis, incluindo tokens e chaves de API.
O impacto desta vulnerabilidade é severo, pois um atacante pode comprometer a conta de administrador do Anchorr. Ao executar JavaScript no navegador do administrador, o atacante pode coletar informações confidenciais, como credenciais de acesso a serviços externos (Jellyfin, Jellyseer) e o token do Discord. Com essas credenciais, o atacante pode obter acesso não autorizado a esses serviços, potencialmente comprometendo dados de mídia e controlando o bot. A combinação com a exposição de credenciais via GET /api/config agrava significativamente o risco, permitindo a exfiltração completa das informações sensíveis armazenadas pelo Anchorr. Um ataque bem-sucedido pode resultar em roubo de dados, controle do bot e acesso a recursos de mídia protegidos.
A vulnerabilidade foi divulgada publicamente em 2026-03-20. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A existência de um ponto de extremidade que retorna credenciais em texto simples (GET /api/config) aumenta a probabilidade de exploração, tornando-a um alvo atraente para atacantes. A ausência de um KEV listing indica um nível de risco moderado, mas a severidade do CVSS (9.7) e o potencial de exfiltração de credenciais exigem atenção imediata.
Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.
• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.
lsof -i -p $(pidof anchorr)• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.
grep '/api/config' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Anchorr para a versão 1.4.2, que corrige a vulnerabilidade XSS. Se a atualização imediata não for possível, considere restringir o acesso ao painel web do Anchorr apenas a usuários confiáveis. Implementar regras de firewall ou proxy para bloquear o acesso não autorizado ao endpoint /api/config pode ajudar a proteger as credenciais. Monitore os logs do Discord e do Anchorr em busca de atividades suspeitas, como solicitações não autorizadas ao endpoint /api/config ou execução de scripts desconhecidos. Revise as permissões do bot e limite o acesso a apenas o necessário para suas funções.
Atualize Anchorr para a versão 1.4.2 ou superior. Esta versão corrige a vulnerabilidade XSS armazenada e evita a exfiltração de credenciais sensíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32890 is a critical stored XSS vulnerability in Anchorr versions 1.4.1 and below. It allows unprivileged Discord users to execute JavaScript, potentially stealing sensitive credentials.
If you are using Anchorr version 1.4.1 or earlier, you are affected by this vulnerability. Upgrade to version 1.4.2 to mitigate the risk.
The recommended fix is to upgrade Anchorr to version 1.4.2 or later. If upgrading is not immediately possible, restrict access to the web dashboard and implement a Content Security Policy.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of exploitation. Monitor your systems closely.
Refer to the Anchorr project's official repository or website for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.