Ciao,
Sto ricevendo messaggi dal nostro reparto IT centrale che si lamentano del fatto che la nostra istanza Discourse stia attivando un avviso di sicurezza per la CVE-2021-41163, che riguarda l’endpoint /webhooks/aws.
Ho detto loro che abbiamo mantenuto il software aggiornato dal 2021 (eseguiamo una “ricostruzione dell’applicazione launcher” ogni mese automaticamente), ma il loro scanner continua a segnalarlo come un problema. Sono convinti che stiamo eseguendo una versione precedente alla 2.7.8 (2021), ma siamo sulla 2026.01.0-latest. Quindi sono abbastanza sicuro che il loro scanner stia semplicemente interpretando male la stringa della versione, o stia rilevando l’esistenza dell’endpoint e si lamenti di quello.
Sono sicuro al 99% che non sia un problema, ma ho bisogno di convincere loro di questo.
Esiste un modo pulito per disabilitare l’endpoint dei webhook AWS senza dover modificare discourse.conf? Questo probabilmente li tranquillizzerebbe.
Naturalmente c’è sempre quell’1% di possibilità che NON siamo aggiornati, nel qual caso sarei felice di avere un modo per verificarlo. Ho fatto qualche ricerca con git log ma non vedo un riferimento specifico a quella CVE.
Consigli?
