Les administrateurs qui utilisent le logiciel open source Discourse sur leurs serveurs pour gérer des forums Internet et des listes de diffusion doivent le mettre à jour dès que possible : Les développeurs ont comblé une faille de sécurité classée comme critique, qui, selon la description, aurait pu être utilisée pour l’exécution de code à distance sans authentification préalable.

L’entrée pour CVE-2021-41163 dans la base de données nationale des vulnérabilités attribue à la vulnérabilité un score CVSS de 9,8 sur une échelle de 10. Il repose sur des mécanismes de validation inadéquats dans les valeurs « subscribe_url » et peut être attaqué au moyen d’une requête spécialement conçue. Dans un avis de sécurité, l’autorité américaine CISA recommande d’appliquer d’urgence la mise à jour ou une solution de contournement suggérée par les développeurs.

Les détails techniques sur CVE-2021-41163 peuvent être trouvés dans une description détaillée par le découvreur de la vulnérabilité. Jusqu’à présent, on ne sait rien des attaques dans la nature.

Versions vulnérables, mise à jour et solution de contournement

Selon l’avis de mise à jour des développeurs de Discourse, les versions actuelles stable, bêta et « tests-passés » du logiciel sont vulnérables. Les versions stables jusqu’à la version 2.7.8 incluse sont considérées comme vulnérables, ainsi que les versions bêta et testées jusqu’à la version 2.8.0.beta6 incluse. La vulnérabilité a été supprimée à partir des versions 2.7.9 et 2.8.0.beta7.

Les développeurs suggèrent d’utiliser un proxy en amont pour bloquer les requêtes qui commencent par le chemin « /webhooks/aws » comme solution de rechange.