Une vulnérabilité a été découverte dans Discourse -une des plateformes de discussion communautaire open source-. La vulnérabilité est référencée sous le nom de CVE-2021-41163 avec un score critique de 10.

La faille est un bug de validation dans le upstream aws-sdk-sns gem qui peut conduire à une exécution de code à distance dans Discourse via une requête malicieusement conçue.

Les versions affectées sont :

· stable <= 2.7.8 ;

· beta <= 2.8.0.beta6 ;

· tests-passed <= 2.8.0.beta6.

Dans les versions affectées, des requêtes malicieusement construites pourraient conduire à l'exécution de code à distance. Ceci résulterait d'un manque de validation dans les valeurs de "subscribe_url".

La base de données nationale des vulnérabilités des États-Unis a publié un avis décrivant et donnant des détails sur cette vulnérabilité

Ce problème est corrigé dans les dernières versions stable, beta et test de Discourse. « stable : 2.7.9; beta : 2.8.0.beta7; tests-passed : 2.8.0.beta7». Et pour contourner le problème sans mise à jour, les requêtes dont le chemin d'accès commence par « /webhooks/aws » peuvent être bloquées par un upstream proxy.