Bonjour,
Je reçois des messages de notre service informatique central se plaignant que notre instance Discourse déclenche un avertissement de sécurité concernant la CVE-2021-41163, qui concerne le point de terminaison /webhooks/aws.
Je leur ai dit que nous maintenons le logiciel à jour depuis 2021 (nous effectuons une « reconstruction de l’application de lancement » automatique tous les mois), mais leur scanner signale toujours cela comme un problème. Il est convaincu que nous utilisons une version antérieure à la 2.7.8 (2021), alors que nous sommes sur 2026.01.0-latest. Je suis donc presque certain que leur scanner analyse mal la chaîne de version ou détecte l’existence du point de terminaison et s’en plaint.
Je suis sûr à 99 % que ce n’est pas un problème, mais j’ai besoin de les en convaincre.
Existe-t-il un moyen propre de désactiver le point de terminaison des webhooks AWS sans avoir à modifier discourse.conf ? Cela les calmerait probablement.
Bien sûr, il y a toujours cette possibilité de 1 % que nous ne soyons PAS corrigés, auquel cas je serais heureux d’avoir un moyen de tester cela. J’ai fait quelques recherches avec git log mais je ne vois pas de référence spécifique à cette CVE.
Des conseils ?
