Hallazgoscf-ejercito-catchall
Media

Ejercito: rutas inexistentes retornan 200 en parte del portal

Categoría

Configuración expuesta

Estado

Activo

Confianza

verified

Observado

2026-04-30

OWASP

A05:2021 — Security Misconfiguration

Resumen

El portal actual en www.ejercito.mil.co retorna HTTP 200 para rutas inexistentes como /__estado_seguro_probe_20260627, /aws.json y /security.txt, aunque rutas sensibles como /.env y /web.config.bak ya devuelven 403 y algunas rutas internas retornan 404.

Por qué importa

Responder 200 para rutas inexistentes reduce observabilidad y dificulta diferenciar contenido real de fallback de aplicacion. Debe configurarse un 404 consistente para rutas no mapeadas, manteniendo bloqueos 403 para rutas sensibles.

Trazabilidad

Primera aparición

2026-04-30

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-04-30
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
  • Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
  • Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
  • Eliminar archivos de debug (phpinfo.php, info.php) de producción.

Entidades afectadas (1)

ID: cf-ejercito-catchall·Origen: Consolidación (catch-all detector)