JVNDB-2026-009399

openVESSLのAnchorrにおける複数の脆弱性

Anchorrは、映画やテレビ番組のリクエストを行い、メディアサーバーにアイテムが追加された際に通知を受け取るためのDiscordボットです。バージョン1.4.1以下には、Jellyseerrのユーザーセレクターに格納型XSS脆弱性が存在します。Jellyseerrは、どのアカウント保持者でもAnchorr管理者のブラウザセッションで任意のJavaScriptを実行できるようにします。挿入されたスクリプトは認証済みの/api/configエンドポイントを呼び出し、アプリケーションの完全な設定を平文で返します。これにより、攻撃者は有効なAnchorrセッショントークンを偽造でき、管理者パスワードを知らなくてもダッシュボードの完全な管理者アクセスを取得できます。同じレスポンスはあらゆる統合サービスのAPIキーやトークンも公開し、JELLYFIN_API_KEY経由でJellyfinメディアサーバーに、JELLYSEERR_API_KEY経由でJellyseerrリクエストマネージャーに、DISCORD_TOKEN経由でDiscordボットの同時アカウント乗っ取りを招く恐れがあります。この問題はバージョン1.4.2で修正されました。

openVESSL

• Anchorr 1.4.1 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Privilege Escalation: Jellyseerr User → Anchorr Admin via Stored XSS  Advisory  openVESSL/Anchorr  GitHub

1. 保存または転送前の重要な情報の不適切な削除(CWE-212) [その他]
2. 重要なデータの暗号化の欠如(CWE-311) [その他]
3. クロスサイトスクリプティング (Basic XSS)(CWE-80) [その他]

1. CVE-2026-32891

1. National Vulnerability Database (NVD) : CVE-2026-32891
2. 関連文書 : Release v1.4.2 ― Security patch: Stored XSS fixes  openVESSL/Anchorr  GitHub

• [2026年03月31日]
    掲載