CORS refleja Origin arbitrario en minvivienda.gov.co

Categoría

CORS permisivo

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

Origin: 'https://evil-attacker.tld' reflejado.

Por qué importa

Reflejar el Origin sin validar permite que cualquier sitio haga requests CORS. Sin Allow-Credentials el impacto es menor pero sigue siendo configuración débil.

Evidencia (URL observada)

https://evil-attacker.tld

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Cómo mitigar

•Revisar la guía técnica correspondiente a la categoría y aplicar las recomendaciones del estándar OWASP relacionado.

Entidades afectadas (1)

MinViviendaMinisterio

ID: r3-cors-min-vivienda-01·Origen: Pipeline manual