Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgosr3-openapi-fondo-adaptacion-02
Media

Swagger UI / Redoc accesible en api-datacatalog.ia.fondoadaptacion.gov.co

Categoría

Documentación API expuesta

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

GET https://api-datacatalog.ia.fondoadaptacion.gov.co/redoc responde con interfaz documentación API.

Por qué importa

Interfaz interactiva de exploración del API. Suele venir junto al spec — verifica si requiere auth.

Evidencia (URL observada)

https://api-datacatalog.ia.fondoadaptacion.gov.co/redoc

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Cómo mitigar

  • Restringir Swagger/OpenAPI UI por IP/VPN o autenticación.
  • Si la API debe ser pública, mantener la doc minimal y sin esquemas internos.

Entidades afectadas (1)

Fondo AdaptacionUnidad administrativa especial
ID: r3-openapi-fondo-adaptacion-02·Origen: Pipeline manual