CRITICALCVE-2026-32890CVSS 9.7

Anchorr: 用户映射下拉框中的存储型 XSS 漏洞允许非特权 Discord 用户通过 /api/config 窃取所有密钥

Q: 什么是 CVE-2026-32890 — XSS 漏洞在 Anchorr Discord 机器人中？

CVE-2026-32890 是 Anchorr Discord 机器人版本低于或等于 1.4.2 存在的一个存储型跨站脚本攻击 (XSS) 漏洞，攻击者可以通过用户映射下拉菜单执行恶意代码。

Q: 我是否受到 CVE-2026-32890 在 Anchorr Discord 机器人中的影响？

如果您正在使用 Anchorr Discord 机器人版本低于 1.4.2，则可能受到此漏洞的影响。请立即检查您的版本并升级。

Q: 我如何修复 CVE-2026-32890 在 Anchorr Discord 机器人中的漏洞？

最简单的修复方法是立即将 Anchorr 升级至 1.4.2 或更高版本。

Q: CVE-2026-32890 是否正在被积极利用？

目前尚无公开的漏洞利用程序，但由于漏洞的严重性，存在被恶意利用的风险。

Q: 在哪里可以找到 Anchorr 官方关于 CVE-2026-32890 的公告？

请访问 Anchorr 的官方 GitHub 仓库或 Discord 服务器，以获取有关此漏洞的最新信息和公告。

平台

nodejs

组件

anchorr

修复版本

1.4.3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-32890 描述了 Anchorr Discord 机器人中一个存储型跨站脚本攻击 (XSS) 漏洞。该漏洞允许未经授权的 Discord 用户在 Anchorr 管理员的浏览器中执行任意 JavaScript 代码，从而可能导致敏感信息的泄露。该漏洞影响 Anchorr 版本低于或等于 1.4.2 的用户。建议立即升级至 1.4.2 版本以修复此漏洞。

影响与攻击场景

该 XSS 漏洞的影响非常严重。攻击者可以利用用户映射下拉菜单执行恶意 JavaScript 代码，从而完全控制 Anchorr 管理员的浏览器。更糟糕的是，攻击者可以通过访问 /api/config 端点获取所有存储的凭据，包括 Discord 令牌 (DISCORD_TOKEN) 和 Jellyfin/Jellyseerr API 密钥。这些凭据可以被用于接管 Discord 服务器、访问媒体库，甚至进一步进行横向移动攻击。由于 Anchorr 广泛应用于媒体服务器管理，因此该漏洞的潜在影响范围非常广，可能导致大规模的数据泄露和系统控制。

利用背景

目前尚无公开的漏洞利用程序 (PoC)，但该漏洞的严重程度和潜在影响使其成为攻击者的潜在目标。该漏洞已于 2026 年 3 月 20 日公开披露。由于 Anchorr 广泛应用于 Discord 服务器管理，因此存在被恶意利用的风险。建议密切关注安全社区的动态，并及时采取必要的安全措施。

哪些人处于风险中翻译中…

Discord server owners and administrators using Anchorr are at significant risk. Specifically, those who have configured the web dashboard with broad access permissions or have not implemented strong authentication measures are particularly vulnerable. Shared hosting environments where multiple Discord bots are hosted on the same server also increase the risk of lateral movement.

检测步骤翻译中…

• nodejs / server: Monitor Anchorr logs for unusual JavaScript execution patterns. Use lsof or ss to check for unexpected network connections from the Anchorr process.

lsof -i -p $(pidof anchorr)

• generic web: Examine the web dashboard's User Mapping dropdown for suspicious input fields or unusual behavior. Check access logs for requests to /api/config from unauthorized users.

grep '/api/config' /var/log/apache2/access.log

攻击时间线

2026-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件anchorr

供应商openVESSL

影响范围修复版本

< 1.4.2 – < 1.4.21.4.3

弱点分类 (CWE)

CWE-79 CWE-200

时间线

已保留2026-03-16
发布日期2026-03-20
EPSS 更新日期2026-03-27

缓解措施和替代方案

最有效的缓解措施是立即将 Anchorr 升级至 1.4.2 版本。如果升级过程出现问题，可以考虑回滚到之前的稳定版本，但请注意这并不能完全消除风险。作为临时措施，可以尝试限制用户映射下拉菜单的输入长度，并对输入进行严格的验证和过滤，以防止恶意脚本注入。此外，建议定期审查 Anchorr 的配置，确保所有敏感凭据都已妥善保管，并限制对 /api/config 端点的访问权限。如果使用 WAF 或代理服务器，可以配置规则来检测和阻止潜在的 XSS 攻击。

修复方法

将 Anchorr 更新到 1.4.2 或更高版本。此版本修复了存储型 XSS 漏洞并防止了敏感凭据的窃取。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-32890 — XSS 漏洞在 Anchorr Discord 机器人中？