Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgosr2-car-crc-cauca-02
Crítica

WordPress 4.9.9 en crc.gov.co (EOL — branch <6.x)

Categoría

Software obsoleto

Confianza

verified

Observado

2026-04-30

OWASP

A06:2021 — Vulnerable and Outdated Components

Resumen

meta generator detecta WordPress 4.9.9. La rama 5.x ya no recibe parches de seguridad (EOL desde nov 2024).

Por qué importa

WordPress fuera de rama 6.x acumula CVE sin parche. Plugins y temas reciben actualizaciones que no pueden aplicarse a versiones tan antiguas. Vulnerabilidad RCE acumulada.

Cómo mitigar

  • Migrar a versión soportada del stack (CMS, runtime, OS) — Drupal 7 → 10, WP 5 → 6.x, IIS 8.5 → IIS 10.
  • Si la migración no es viable a corto plazo, aplicar virtual patching con WAF (CloudFlare, AWS WAF, Imperva).
  • Documentar fecha de fin de soporte y plan de migración con owners asignados.

Entidades afectadas (1)

CRC CaucaCorporación Autónoma Regional
ID: r2-car-crc-cauca-02·Origen: Round 2 (subdomain enum + Disallow + paths + CMS)