Media
XML-RPC habilitado en Ministerio de Ambiente y Desarrollo Sostenible
Categoría
API expuesta
Confianza
verified
Observado
2026-04-04
OWASP
A01:2021
Resumen
El endpoint xmlrpc.php esta habilitado en Ministerio de Ambiente y Desarrollo Sostenible. Puede usarse para ataques de fuerza bruta amplificados.
Por qué importa
XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.
Cómo mitigar
- •Restringir ambientes de no-producción por IP/VPN, nunca por DNS público.
- •Quitar prefijos identificables (dev, staging, uat) de DNS público — usar nombres opacos si la exposición DNS es necesaria.
- •Aplicar el mismo hardening de prod a dev (cuando sea alcanzable externamente).