Hallazgosf-esap-xmlrpc-expuesto
Media

XML-RPC habilitado en ESAP

Categoría

API expuesta

Estado

Activo

Confianza

verified

Observado

2026-04-04

OWASP

A01:2021

Resumen

GET https://www.esap.edu.co/xmlrpc.php devuelve HTTP 405 con Allow: POST y el mensaje esperado de WordPress, lo que confirma que XML-RPC sigue habilitado.

Por qué importa

XML-RPC amplía superficie de abuso automatizado y puede facilitar intentos masivos de autenticación si no está restringido o deshabilitado.

Evidencia (URL observada)

https://www.esap.edu.co/xmlrpc.php

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Trazabilidad

Primera aparición

2026-04-04

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings_v2.json2026-04-04
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Restringir ambientes de no-producción por IP/VPN, nunca por DNS público.
  • Quitar prefijos identificables (dev, staging, uat) de DNS público — usar nombres opacos si la exposición DNS es necesaria.
  • Aplicar el mismo hardening de prod a dev (cuando sea alcanzable externamente).

Entidades afectadas (1)

ID: f-esap-xmlrpc-expuesto·Origen: Pipeline territorial