Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgosr3-tech-alc-cali-02
Alta

Spring Boot Actuator root expuesto en dashboard.cali.gov.co

Categoría

Configuración expuesta

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

GET https://dashboard.cali.gov.co/actuator retorna catálogo de endpoints.

Por qué importa

Actuator root entrega lista de endpoints disponibles (info, health, env, heapdump). Configuración por defecto expone más de lo recomendado en producción.

Evidencia (URL observada)

https://dashboard.cali.gov.co/actuator

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Cómo mitigar

  • Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
  • Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
  • Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
  • Eliminar archivos de debug (phpinfo.php, info.php) de producción.

Entidades afectadas (1)

Alc. CaliAlcaldía capital
ID: r3-tech-alc-cali-02·Origen: Pipeline manual