Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgossc-git-univ-utp
Crítica

Repositorio Git público con remote identificable en univ-utp

Categoría

Código fuente expuesto

Confianza

verified

Observado

2026-05-03

OWASP

A05:2021 — Security Misconfiguration

Resumen

GET /.git/config retorna config válida con remotes: git@gitlab.com:CRIE-UTP/portal-principal-php.git. git-dumper recovery del repo completo es trivial.

Por qué importa

Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.

Cómo mitigar

  • Bloquear `/.git`, `/.svn`, `/.hg` en el WebServer con regla deny.
  • Asegurar que el deploy NO copie el directorio `.git` al docroot público.
  • Auditar el repositorio descargado: ¿quedaron credenciales en commits previos? Rotar y purgar con `git filter-repo`.

Entidades afectadas (1)

UTPUniversidad pública
ID: sc-git-univ-utp·Origen: Pipeline manual