Hallazgosr3-tech-cra-01
Media

CRA: Drupal CHANGELOG.txt accesible sin versión exacta

Categoría

Divulgación de información

Estado

Activo

Confianza

verified

Observado

2026-06-27

OWASP

A06:2021 — Vulnerable and Outdated Components

Resumen

GET https://cra.gov.co/core/CHANGELOG.txt retorna 200 text/plain con el stub moderno de Drupal sobre ciclo de releases; una ruta aleatoria devuelve 404, por lo que no es catch-all. El archivo no fija patch exacto, pero confirma archivos core Drupal expuestos públicamente.

Por qué importa

Aunque el archivo no lista una versión de parche, mantener archivos core auxiliares accesibles facilita fingerprinting del CMS y confirma superficie Drupal expuesta junto con X-Generator: Drupal 9.

Evidencia (URL observada)

https://cra.gov.co/core/CHANGELOG.txt

Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.

Trazabilidad

Primera aparición

2026-06-27

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
  • Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
  • No publicar source maps en producción — separar build de dev y prod.

Entidades afectadas (1)

ID: r3-tech-cra-01·Origen: Pipeline manual