CRA: Drupal CHANGELOG.txt accesible sin versión exacta
Categoría
Divulgación de información
Estado
ActivoConfianza
verified
Observado
2026-06-27
OWASP
A06:2021 — Vulnerable and Outdated Components
Resumen
GET https://cra.gov.co/core/CHANGELOG.txt retorna 200 text/plain con el stub moderno de Drupal sobre ciclo de releases; una ruta aleatoria devuelve 404, por lo que no es catch-all. El archivo no fija patch exacto, pero confirma archivos core Drupal expuestos públicamente.
Por qué importa
Aunque el archivo no lista una versión de parche, mantener archivos core auxiliares accesibles facilita fingerprinting del CMS y confirma superficie Drupal expuesta junto con X-Generator: Drupal 9.
Evidencia (URL observada)
https://cra.gov.co/core/CHANGELOG.txtVerificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Cómo mitigar
- •Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
- •Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
- •No publicar source maps en producción — separar build de dev y prod.