CVE-2026-32891 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型 XSS 漏洞。 📍 **位置**：Jellyseerr 用户选择器。 💥 **后果**：恶意脚本持久化，导致**账户接管**，用户数据泄露。

🔍 **CWE**：CWE-80 (XSS)。 🐛 **缺陷**：输入验证缺失。 📉 **原因**：用户选择器未对输入进行**安全过滤**，直接渲染恶意代码。

📦 **产品**：Anchorr (Discord 机器人)。 🏢 **厂商**：openVESSL。 📅 **版本**：**v1.4.1 及之前版本**。 🔗 **修复版**：v1.4.2。

🕵️ **黑客能力**：执行任意 JS 代码。 🔑 **权限**：窃取 Cookie/Token。 💣 **后果**：**接管受害者账户**，冒充用户操作，破坏数据完整性。

🚧 **门槛**：中等。 🔐 **认证**：需要 **PR:L** (低权限)。 👀 **UI**：需要 **UI:R** (用户交互)。 📝 **过程**：攻击者需诱导受害者点击或输入恶意 payload。

📜 **PoC**：暂无公开 PoC。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：GitHub Advisory (GHSA-6mg4-788h-7g9g)。

🔎 **自查**：检查 Jellyseerr 集成配置。 🧪 **测试**：在用户选择器输入 `<script>alert(1)</script>`。 📊 **扫描**：检测输出是否包含未转义的脚本标签。

✅ **已修复**：官方已发布补丁。 📥 **行动**：升级至 **v1.4.2**。 🔗 **链接**：GitHub Releases v1.4.2。

🛡️ **临时方案**：禁用 Jellyseerr 用户选择功能。 🚫 **限制**：限制谁可以访问该组件。 🧹 **清理**：删除数据库中已注入的恶意脚本。

⚡ **优先级**：高。 📈 **CVSS**：H (高危)。 💡 **建议**：立即升级，防止**账户接管**风险。不要拖延！