Olá,
Estou recebendo mensagens da nossa TI central reclamando que nossa instância do Discourse está acionando um alerta de segurança para a CVE-2021-41163, que diz respeito ao endpoint /webhooks/aws.
Eu os informei que mantemos o software atualizado desde 2021 (fazemos uma “reconstrução do aplicativo do launcher” automaticamente todo mês), mas o scanner deles ainda está sinalizando como um problema. Está convencido de que estamos executando uma versão anterior à 2.7.8 (2021), mas estamos na 2026.01.0-latest. Então, tenho quase certeza de que o scanner deles está apenas interpretando mal a string da versão ou detectando a existência do endpoint e reclamando disso.
Tenho 99% de certeza de que não é um problema, mas preciso convencê-los disso.
Existe uma maneira limpa de desabilitar o endpoint de webhooks da AWS sem ter que modificar o discourse.conf? Isso provavelmente os acalmaria.
Claro, sempre existe aquela possibilidade de 1% de que não estamos corrigidos, caso em que ficaria feliz em ter alguma maneira de testar isso. Eu fiz algumas buscas no git log, mas não vejo uma referência específica a essa CVE.
Conselhos?
