Crítica
Posible conn_mongo hardcoded en repo público que menciona nortedesantander.gov.co
Categoría
Secretos expuestos
Confianza
probable
Observado
2026-05-01
OWASP
A02:2021 — Cryptographic Failures
Resumen
GitHub code search detecta patron 'conn_mongo' en MarlonPrado/back_vivecolegioDev (.env). Fragmento: NODE_ENV= production DATABASE_URL_TYPE_ORM="mongodb://db_user_vivecolegios:db_user_vivecolegios2022@vivecolegios.nortedesantander.gov.co/app_db_vivecolegios?retryWrites=true&w=majority" DATABASE_URL
Por qué importa
Codigo publico que menciona el dominio + patron tipo credencial sugiere fuga de secretos a traves de repos personales/contratistas. Validar manualmente si el secreto sigue activo o ya fue rotado.
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.