CORS Allow-Origin '*' con Allow-Credentials en tributario.pereira.gov.co

Categoría

CORS permisivo

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

Configuración inválida y peligrosa.

Por qué importa

Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

Cómo mitigar

•Revisar la guía técnica correspondiente a la categoría y aplicar las recomendaciones del estándar OWASP relacionado.

Entidades afectadas (1)

Alc. PereiraAlcaldía capital

ID: r3-cors-alc-pereira-02·Origen: Pipeline manual