Hallazgosf-supersalud-cookies-inseguras
Media

Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios

Categoría

Headers de seguridad

Estado

Activo

Confianza

verified

Observado

2026-04-28

Resumen

Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.

Por qué importa

Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.

Trazabilidad

Primera aparición

2026-04-28

Revisión

2026-05-17

Publicación

2026-05-17

Solución

Primera aparicion conocida en findings.json2026-04-28
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17

Cómo mitigar

  • Habilitar HSTS: `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`.
  • CSP estricto: `Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; ...`.
  • X-Content-Type-Options: nosniff, X-Frame-Options: DENY (o CSP frame-ancestors), Referrer-Policy: strict-origin-when-cross-origin.

Entidades afectadas (1)

ID: f-supersalud-cookies-inseguras·Origen: Pipeline territorial