Crítica
Archivo de configuracion .env accesible en mail.putumayo.gov.co
Categoría
Secretos expuestos
Estado
ActivoConfianza
verified
Observado
2026-04-30
OWASP
A02:2021 — Cryptographic Failures
Resumen
GET https://mail.putumayo.gov.co/.env retorna HTTP 200 con sintaxis de variables de entorno. Snippet: APP_NAME="Gobernación del Putumayo" APP_ENV=production APP_KEY=<redacted secret> APP_D.
Por qué importa
Los archivos .env contienen credenciales de base de datos, API keys, tokens de servicios externos, secretos de firma. Su exposicion publica permite acceso directo a sistemas backend e impersonacion frente a APIs externas.
Evidencia (URL observada)
https://mail.putumayo.gov.co/.envVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Trazabilidad
Primera aparición
2026-04-30
Revisión
2026-05-17
Publicación
2026-05-17
Solución
—
Primera aparicion conocida en findings.json2026-04-30
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.