Discourse heeft een kritieke kwetsbaarheid in hun open-source forumsoftware opgelost. De kwetsbaarheid staat bekend als CVE-2021-41163 en maakt het voor een aanvaller mogelijk om willekeurige code uit te voeren zonder authenticatie. Inmiddels heeft The National Institute of Standards and Technology (NIST) de kwetsbaarheid een kritieke CVSS-score van 9.8 toegekend.
Uit openbare bronnen is bekend dat er momenteel wereldwijd een kleine 9000 installaties van de software publiek op internet worden gevonden. Daarvan gaat het in Nederland om ruim 400 installaties. Het Amerikaanse CISA roept op om zo snel mogelijk de beschikbare beveiligingsupdates te installeren.
Wat kan ik doen?
Maak je gebruik van de forumsoftware van Discourse dan wordt geadviseerd om de beschikbare beveiligingsupdate zo snel mogelijk te (laten) installeren. Wanneer je Discourse afneemt als een dienst en niet op eigen servers draait, ga dan na of de leverancier de update heeft geïnstalleerd.
De kwetsbaarheid is aanwezig in versie 2.7.8 en is verholpen in versie 2.7.9. Volg deze instructie voor het handmatig updaten van de Discourse-software.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.