Anchorr — это бот Discord для запроса фильмов и телешоу и получения уведомлений при добавлении элементов на медиасервер. В версиях 1.4.1 и ниже сохраненная уязвимость межсайтового скриптинга (XSS) в раскрывающемся списке «Сопоставление пользователей» веб-панели позволяет любому непривилегированному пользователю Discord в настроенной гильдии выполнять произвольный JavaScript в браузере администратора Anchorr. Связав это с конечной точкой GET /api/config (которая возвращает все секреты в открытом виде), злоумышленник может получить доступ ко всем учетным данным, хранящимся в Anchorr, включая DISCORD_TOKEN, JELLYFIN_API_KEY, JELLYSEERR_API_KEY, JWT_SECRET, WEBHOOK_SECRET и хеши паролей bcrypt без какой-либо аутентификации в самом Anchorr.
Эта проблема исправлена в версии 1.4.2.
Показать оригинальное описание (EN)
Anchorr is a Discord bot for requesting movies and TV shows and receiving notifications when items are added to a media server. In versions 1.4.1 and below, a stored Cross-site Scripting (XSS) vulnerability in the web dashboard's User Mapping dropdown allows any unprivileged Discord user in the configured guild to execute arbitrary JavaScript in the Anchorr admin's browser. By chaining this with the GET /api/config endpoint (which returns all secrets in plaintext), an attacker can exfiltrate every credential stored in Anchorr which includes DISCORD_TOKEN, JELLYFIN_API_KEY, JELLYSEERR_API_KEY, JWT_SECRET, WEBHOOK_SECRET, and bcrypt password hashes without any authentication to Anchorr itself. This issue has been fixed in version 1.4.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openvessl Anchorr
cpe:2.3:a:openvessl:anchorr:*:*:*:*:*:*:*:*
|
— |
<= 1.4.1
|