Vulnerabilidad en Anchorr Privilege Escalation: Jellyseerr User ? Anchorr Admin via Stored XSS (CVE-2026-32891)

Anchorr es un bot de Discord para solicitar películas y programas de TV y recibir notificaciones cuando se añaden elementos a un servidor de medios. Las versiones 1.4.1 e inferiores contienen una vulnerabilidad XSS almacenada en el selector de usuario de Jellyseerr. Jellyseerr permite a cualquier titular de cuenta ejecutar JavaScript arbitrario en la sesión del navegador del administrador de Anchorr. El script inyectado llama al endpoint autenticado /api/config - que devuelve la configuración completa de la aplicación en texto plano. Esto permite al atacante forjar un token de sesión de Anchorr válido y obtener acceso de administrador completo al panel de control sin conocimiento de la contraseña de administrador. La misma respuesta también expone las claves API y los tokens para cada servicio integrado, lo que resulta en la toma de control simultánea de la cuenta del servidor de medios Jellyfin (a través de JELLYFIN_API_KEY), del gestor de solicitudes Jellyseerr (a través de JELLYSEERR_API_KEY), y del bot de Discord (a través de DISCORD_TOKEN). Este problema ha sido solucionado en la versión 1.4.2.