Hallazgosr3-tech-alc-cali-02
Alta

Spring Boot Actuator root expuesto en dashboard.cali.gov.co

Categoría

Configuración expuesta

Estado

Activo

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

GET https://dashboard.cali.gov.co/actuator retorna catálogo de endpoints.

Por qué importa

Actuator root entrega lista de endpoints disponibles (info, health, env, heapdump). Configuración por defecto expone más de lo recomendado en producción.

Evidencia (URL observada)

https://dashboard.cali.gov.co/actuator

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Trazabilidad

Primera aparición

2026-05-03

Revisión

2026-05-17

Publicación

2026-05-17

Solución

Primera aparicion conocida en findings.json2026-05-03
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17

Cómo mitigar

  • Restringir endpoints de gestión (Actuator, ELMAH, /server-status, phpinfo) por IP/VPN o desactivarlos en prod.
  • Spring Boot: `management.endpoints.web.exposure.include=health,info` (mínimo) + `management.endpoint.env.show-values=NEVER`.
  • Apache mod_status: limitar a 127.0.0.1 con `<Location "/server-status">Require local</Location>`.
  • Eliminar archivos de debug (phpinfo.php, info.php) de producción.

Entidades afectadas (1)

ID: r3-tech-alc-cali-02·Origen: Pipeline manual