Alta
Posible hardcoded_password hardcoded en repo público que menciona mindeporte.gov.co
Categoría
Secretos expuestos
Estado
ActivoConfianza
probable
Observado
2026-05-01
OWASP
A02:2021 — Cryptographic Failures
Resumen
Busqueda publica de codigo detecto una posible credencial SMTP hardcodeada asociada a mindeporte.gov.co en un repositorio de terceros. El valor sensible se omite de la ficha publica; la entidad debe verificar exposicion, revocar/rotar credenciales y revisar historial del repositorio.
Por qué importa
Credenciales expuestas en repositorios publicos pueden permitir acceso no autorizado a servicios institucionales. La ficha publica no reproduce secretos y debe usarse solo como indicador para verificacion y rotacion segura.
Trazabilidad
Primera aparición
2026-05-01
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-05-01
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Rotar inmediatamente las credenciales expuestas (no rellenar las mismas).
- •Auditar logs de uso de la credencial para identificar accesos no autorizados.
- •Bloquear el archivo con regla del WebServer (nginx: `location ~ /\.env { deny all; }`; Apache: `<Files ~ "^\.env">Require all denied</Files>`).
- •Considerar gestor de secretos (HashiCorp Vault, AWS Secrets Manager) en vez de archivos planos.