Configuración de Seguridad Incorrecta
Configuraciones por default, CORS abierto, modo debug en producción o mensajes de error detallados exponen tu aplicación a atacantes.
Cómo Funciona
La configuración de seguridad incorrecta es una de las vulnerabilidades más comunes. Incluye dejar modo debug habilitado en producción, CORS permisivo (Access-Control-Allow-Origin: *), exponer stack traces en respuestas de error, mantener credenciales por default o dejar funciones innecesarias habilitadas. Los atacantes buscan estas configuraciones automáticamente con herramientas de escaneo.
const app = express();
app.use(cors({ origin: '*' }));
app.use((err, req, res, next) => {
res.status(500).json({ error: err.stack });
});const app = express();
app.use(cors({ origin: 'https://myapp.com' }));
app.use((err, req, res, next) => {
console.error(err);
res.status(500).json({ error: 'Internal server error' });
});Ejemplo Real
En 2017, la brecha de Equifax que expuso 147 millones de registros fue causada parcialmente por una vulnerabilidad sin parchear en Apache Struts combinada con seguridad de red mal configurada que permitió movimiento lateral.
Cómo Prevenirlo
- Restringe CORS a orígenes específicos de confianza
- Nunca expongas stack traces o info de debug en producción
- Usa configuraciones específicas por entorno
- Audita regularmente tu configuración de seguridad
Tecnologías Afectadas
Data Hogo detecta esta vulnerabilidad automáticamente.
Escanea Tu Repo GratisVulnerabilidades Relacionadas
Control de Acceso Roto
highLos usuarios pueden actuar fuera de sus permisos, accediendo a datos de otros usuarios o funcionalidad admin sin verificaciones de autorización.
Fallos Criptográficos
highDatos sensibles expuestos por encriptación débil o faltante — usar algoritmos obsoletos como MD5/SHA1, guardar passwords en texto plano o transmitir datos sin TLS.
Fallos en Cadena de Suministro
mediumTu aplicación hereda vulnerabilidades de dependencias de terceros — paquetes desactualizados con CVEs conocidos que los atacantes explotan activamente.
Inyección (SQL, NoSQL, Comandos)
criticalEl atacante inserta código malicioso en queries o comandos explotando input de usuario sin sanitizar — inyección SQL, NoSQL y de comandos del sistema.