anonhaven

CVE-2026-32891

CRITICAL CVSS 3.1: 9,0 EPSS 0.02%
Обновлено 27 марта 2026
Openvessl
Параметр Значение
CVSS 9,0 (CRITICAL)
Уязвимые версии до 1.4.1
Устранено в версии 1.4.2
Тип уязвимости CWE-311 (Отсутствие шифрования), CWE-212, CWE-80 (Недостаточная фильтрация HTML-тегов (XSS))
Поставщик Openvessl
Публичный эксплойт Нет

Anchorr — это бот Discord для запроса фильмов и телешоу и получения уведомлений при добавлении элементов на медиасервер. Версии 1.4.1 и ниже содержат сохраненную XSS-уязвимость в селекторе пользователей Jellyseerr. Jellyseerr позволяет любому владельцу учетной записи выполнять произвольный JavaScript в сеансе браузера администратора Anchorr.

Внедренный сценарий вызывает проверенную конечную точку /api/config, которая возвращает полную конфигурацию приложения в виде открытого текста. Это позволяет злоумышленнику подделать действительный токен сеанса Anchorr и получить полный доступ администратора к панели управления, не зная пароля администратора. Тот же ответ также предоставляет ключи и токены API для каждой интегрированной службы, что приводит к одновременному захвату учетных записей медиасервера Jellyfin (через JELLYFIN_API_KEY), менеджера запросов Jellyseerr (через JELLYSEERR_API_KEY) и бота Discord (через DISCORD_TOKEN).

Эта проблема исправлена ​​в версии 1.4.2.

Показать оригинальное описание (EN)

Anchorr is a Discord bot for requesting movies and TV shows and receiving notifications when items are added to a media server. Versions 1.4.1 and below contain a stored XSS vulnerability in the Jellyseerr user selector. Jellyseerr allows any account holder to execute arbitrary JavaScript in the Anchorr admin's browser session. The injected script calls the authenticated /api/config endpoint - which returns the full application configuration in plaintext. This allows the attacker to forge a valid Anchorr session token and gain full admin access to the dashboard with no knowledge of the admin password. The same response also exposes the API keys and tokens for every integrated service, resulting in simultaneous account takeover of the Jellyfin media server (via JELLYFIN_API_KEY), the Jellyseerr request manager (via JELLYSEERR_API_KEY), and the Discord bot (via DISCORD_TOKEN). This issue has been fixed in version 1.4.2.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-311 Missing Encryption (Отсутствие шифрования)
CWE-212
CWE-80 Improper Neutralization of Script-Related HTML Tags (XSS) (Недостаточная фильтрация HTML-тегов (XSS))

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Openvessl Anchorr
cpe:2.3:a:openvessl:anchorr:*:*:*:*:*:*:*:*
 <= 1.4.1

Ссылки 2

https://github.com/openVESSL/Anchorr/releases/tag/v1.4.2
security-advisories@github.com
https://github.com/openVESSL/Anchorr/security/advisories/GHSA-6mg4-788h-7g9g
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-32890

Openvessl

9,6