Alcaldia de San Andres Isla

GET https://turismo.sanandres.gov.co/wp-config.php.bak retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/wp-config.php~ retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/wp-config.bak retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/wp-config.txt retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/configuration.php.bak retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/backup.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/dump.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/database.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/db.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://turismo.sanandres.gov.co/manager/html retorna HTTP 200. Banner Tomcat detectado.

Tomcat Manager es un objetivo recurrente de ataques con credenciales por defecto (tomcat/tomcat, admin/admin). Permite deploy de WAR con codigo arbitrario — RCE inmediato si credenciales son debiles.

Mismo patrón crítico detectado en 83 entidades del Estado: alc-arauca, alc-armenia, alc-bucaramanga, alc-cali, alc-cartago, alc-cucuta, alc-galapa, alc-girardot.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 5 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

ML clustering identificó 6 findings similares afectando 6 entidades distintas. Categoría dominante: panel_admin_expuesto. Severidades: {'critica': 6}. Muestra: Tomcat Manager accesible en defensajuridica.gov.co (HTTP 200) | Tomcat Manager accesible en anla.gov.co (HTTP 200) | Tomcat Manager accesible en icetex.gov.co (HTTP 200).

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

La versión detectada php . corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2025-24813: Apache Tomcat Path Equivalence Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2025-04-01, dueDate gov US=2025-04-22).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2016-8735: Apache Tomcat Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2023-05-12, dueDate gov US=2023-06-02).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2017-12617: Apache Tomcat Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-25, dueDate gov US=2022-04-15).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2017-12615: Apache Tomcat on Windows Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-25, dueDate gov US=2022-04-15; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2020-1938: Apache Tomcat Improper Privilege Management Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-03, dueDate gov US=2022-03-17).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.