Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgossc-wpdebug-univ-unicordoba
Crítica

WordPress debug.log público con 1 errores fatales en univ-unicordoba

Categoría

Divulgación de información

Confianza

verified

Observado

2026-05-03

OWASP

A09:2021 — Security Logging and Monitoring Failures

Resumen

GET /wp-content/debug.log: 1 fatal + 0 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-content/plugins/the-events-calendar/common/src/Tribe/Container.php, /var/www/html/wp-cron.php, /var/www/html/wp-settings.php). DB credentials visibles en texto: 0.

Por qué importa

Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Cómo mitigar

  • Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
  • Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
  • No publicar source maps en producción — separar build de dev y prod.

Entidades afectadas (1)

U. CórdobaUniversidad pública
ID: sc-wpdebug-univ-unicordoba·Origen: Pipeline manual