Media
XML-RPC habilitado en ESAP
Categoría
API expuesta
Estado
ActivoConfianza
verified
Observado
2026-04-04
OWASP
A01:2021
Resumen
GET https://www.esap.edu.co/xmlrpc.php devuelve HTTP 405 con Allow: POST y el mensaje esperado de WordPress, lo que confirma que XML-RPC sigue habilitado.
Por qué importa
XML-RPC amplía superficie de abuso automatizado y puede facilitar intentos masivos de autenticación si no está restringido o deshabilitado.
Evidencia (URL observada)
https://www.esap.edu.co/xmlrpc.phpVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Trazabilidad
Primera aparición
2026-04-04
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings_v2.json2026-04-04
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Restringir ambientes de no-producción por IP/VPN, nunca por DNS público.
- •Quitar prefijos identificables (dev, staging, uat) de DNS público — usar nombres opacos si la exposición DNS es necesaria.
- •Aplicar el mismo hardening de prod a dev (cuando sea alcanzable externamente).