Здравствуйте,
Мне поступают сообщения от нашей центральной IT-службы о том, что наш экземпляр Discourse вызывает предупреждение о безопасности, связанное с уязвимостью CVE-2021-41163, которая касается конечной точки /webhooks/aws.
Я сообщил им, что мы обновляем программное обеспечение с 2021 года (мы автоматически пересобираем «приложение запуска» каждый месяц), но их сканер по-прежнему помечает это как проблему. Он убеждён, что у нас запущена версия старше 2.7.8 (2021 год), хотя у нас стоит 2026.01.0-latest. Поэтому я почти уверен, что их сканер просто некорректно разбирает строку версии или обнаруживает наличие конечной точки и жалуется на это.
Я на 99% уверен, что это не проблема, но мне нужно убедить в этом их.
Есть ли чистый способ отключить конечную точку AWS webhooks без правки файла discourse.conf? Это, вероятно, успокоит их.
Конечно, всегда есть 1% вероятность, что мы не исправлены, и в таком случае я был бы рад иметь способ это проверить. Я провёл поиск через git log, но не нашёл конкретного упоминания этой CVE.
Советы?
