Katalog CVE

CVE-2026-32891

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej zawiera podatność XSS typu stored w selektorze użytkowników Jellyseerr. Umożliwia to dowolnemu posiadaczowi konta wykonanie arbitralnego kodu JavaScript w sesji przeglądarki administratora Anchorr.

Ocena ryzyka

Atakujący może uzyskać pełny dostęp do panelu administracyjnego, fałszując ważny token sesji Anchorr, co prowadzi do przejęcia konta administratora oraz ujawnienia kluczy API dla zintegrowanych usług, takich jak Jellyfin i Discord.

Rekomendacja

Zaleca się aktualizację do wersji 1.4.2, aby usunąć tę podatność oraz zabezpieczyć dostęp do panelu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

Anchorr is a Discord bot for requesting movies and TV shows and receiving notifications when items are added to a media server. Versions 1.4.1 and below contain a stored XSS vulnerability in the Jellyseerr user selector. Jellyseerr allows any account holder to execute arbitrary JavaScript in the Anchorr admin's browser session. The injected script calls the authenticated /api/config endpoint - which returns the full application configuration in plaintext. This allows the attacker to forge a valid Anchorr session token and gain full admin access to the dashboard with no knowledge of the admin password. The same response also exposes the API keys and tokens for every integrated service, resulting in simultaneous account takeover of the Jellyfin media server (via JELLYFIN_API_KEY), the Jellyseerr request manager (via JELLYSEERR_API_KEY), and the Discord bot (via DISCORD_TOKEN). This issue has been fixed in version 1.4.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS