Hola,
Estoy recibiendo mensajes de nuestro departamento de TI central quejándose de que nuestra instancia de Discourse está activando una advertencia de seguridad sobre la CVE-2021-41163, que se refiere al endpoint /webhooks/aws.
Les he dicho que hemos mantenido el software actualizado desde 2021 (hacemos una “reconstrucción de la aplicación launcher” automáticamente cada mes), pero su escáner sigue marcándolo como un problema. Está convencido de que estamos ejecutando una versión anterior a la 2.7.8 (2021), pero estamos en la 2026.01.0-latest. Así que estoy bastante seguro de que su escáner simplemente está interpretando mal la cadena de versión o detectando la existencia del endpoint y quejándose de eso.
Estoy 99% seguro de que no es un problema, pero necesito convencerlos a ellos de eso.
¿Hay alguna forma limpia de deshabilitar el endpoint de webhooks de AWS sin tener que modificar el discourse.conf? Eso probablemente los tranquilizaría.
Por supuesto, siempre existe esa posibilidad del 1% de que NO estemos parcheados, en cuyo caso, me alegraría tener alguna forma de probarlo. Hice algunas búsquedas con git log, pero no veo una referencia específica a esa CVE.
¿Algún consejo?
