Alta
MinAgricultura: cookie sin atributos defensivos completos
Categoría
Cookie insegura
Estado
ActivoConfianza
high
Observado
2026-06-27
Resumen
La portada de MinAgricultura emite una cookie persistente sin Secure, HttpOnly ni SameSite.
Por qué importa
Cookies sin atributos defensivos completos pueden viajar por canales no esperados, ser leídas por JavaScript o participar en flujos cross-site según el navegador.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Setear `Secure` en cookies de sesión (solo viajan por HTTPS).
- •`HttpOnly` para evitar acceso desde JavaScript (mitiga XSS).
- •`SameSite=Lax` o `Strict` para mitigar CSRF.