米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月24日(米国時間)、「Critical RCE Vulnerability in Discourse |CISA」において、オープンソースのディスカッションプラットフォームである「Discourse」に重大な脆弱性が報告されており、対処するためのセキュリティアドバイザリがリリースされていることを伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステム上で任意のコードを実行される危険性がある。
セキュリティアドバイザリは、GitHubリポジトリの次のページで公開されている。
CVE-2021-41163として追跡されているこの脆弱性は、アップストリームのaws-sdk-snsgemにおいてsubscribe_url値の検証が不足していることが原因によるもので、悪意を持って作成されたリクエストを送信することでリモートから任意のコードを実行できる可能性があるという。影響を受けるバージョンは以下の通りとなっている。
- stable版 - バージョン2.7.8以前
- beta版 - バージョン2.8.0.beta6以前
- tests-passed版 - バーション2.8.0.beta6以前
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。
- stable版 - バージョン2.7.9
- beta版 - バージョン2.8.0.beta7
- tests-passed版 - バーション2.8.0.beta7
すぐにアップデートが適用できない場合は、「/webhooks/aws」で始まるパスを持つリクエストをアップストリームプロキシでブロックすることによっても、影響を回避できるという。
脆弱性の深刻度を表すCVSS v3のベーススコアは最高の10.0で、できるだけ早く対策を講じる必要がある。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートを適用するか、アップデートできない場合には回避策を実施することを推奨している。