您好,
我收到我们中央 IT 部门的消息,他们抱怨我们的 Discourse 实例正在针对 CVE-2021-41163 触发安全警告,该漏洞与 /webhooks/aws 端点有关。
我告诉他们,我们自 2021 年以来一直保持软件更新(我们每月自动执行一次“launcher app rebuild”),但他们的扫描器仍然将其标记为问题。他们确信我们运行的是 2.7.8(2021 年)之前的版本,但我们使用的是 2026.01.0-latest。所以我很确定他们的扫描器只是错误地解析了版本字符串,或者检测到该端点的存在并对此提出异议。
我有 99% 的把握这不是问题,但我需要说服他们相信这一点。
有没有一种不修改 discourse.conf 就可以禁用 AWS Webhooks 端点的干净方法?这可能会安抚他们。
当然,总有 1% 的可能性是我们没有打补丁,在这种情况下,我乐于找到一种测试方法。我通过 git log 搜索了一下,但没有看到关于该 CVE 的具体引用。
有什么建议吗?
