保護DataHogo
Enciclopedia de Seguridad/OWASP API Top 10
lowCWE-1059API9:2023

Gestión de Inventario Inadecuada

Múltiples versiones de API siguen activas sin documentación ni deprecación, dejando endpoints antiguos con vulnerabilidades conocidas accesibles para atacantes.

Cómo Funciona

Conforme las APIs evolucionan, versiones viejas quedan corriendo junto a las nuevas. Estos endpoints legacy pueden no tener parches de seguridad, autenticación moderna o rate limiting aplicado en versiones más nuevas. Los atacantes escanean activamente /api/v1/, /api/beta/ o /api/internal/ buscando endpoints que los devs olvidaron decomisionar. Sin un inventario de APIs, las organizaciones pierden rastro de qué endpoints existen, qué datos exponen y qué terceros tienen acceso. Las shadow APIs y zombie APIs se vuelven blancos fáciles.

Código Vulnerable
// Still active in production:
app.use('/api/v1/users', usersV1Router);  // No auth!
app.use('/api/v2/users', usersV2Router);  // Has auth
app.use('/api/beta/users', usersBetaRouter); // Debug mode
app.use('/api/internal/admin', adminRouter); // Exposed!
Código Seguro
// Only current version active
app.use('/api/v2/users', authMiddleware, usersV2Router);
// v1 redirects to v2 with deprecation notice
app.use('/api/v1/*', (req, res) => {
  res.status(410).json({ error: 'API v1 deprecated. Use /api/v2/' });
});

Ejemplo Real

En 2023, investigadores descubrieron que varias fintechs importantes tenían endpoints de API v1 no documentados todavía activos. Estos endpoints viejos no tenían la autenticación OAuth2 agregada en v2, permitiendo acceso no autenticado a datos de cuentas de clientes.

Cómo Prevenirlo

  • Mantén un inventario actualizado de todos los endpoints y versiones de API
  • Depreca y decomisiona versiones viejas con timelines claros
  • Bloquea acceso a endpoints internos o beta desde producción
  • Usa features del API gateway para enforcement de políticas de ciclo de vida

Tecnologías Afectadas

Node.jsPythonGoJavaPHPC#

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Broken Object Level Authorization (BOLA)

high

Los endpoints de API no verifican que el usuario que hace el request es dueño del recurso al que accede — permitiendo a atacantes acceder a datos de otros usuarios cambiando IDs.

CWE-639API1:2023

Autenticación Rota (API)

high

Los mecanismos de autenticación de la API son débiles o están mal implementados — JWT sin validación adecuada, tokens fuera de cookies httpOnly o sin expiración.

CWE-287API2:2023

Autorización de Propiedades de Objeto Rota

medium

La API permite a usuarios leer o modificar propiedades a las que no deberían tener acceso — mass assignment, exposición excesiva de datos o falta de control de acceso a nivel de campo.

CWE-915API3:2023

Consumo de Recursos Sin Restricción

medium

Endpoints de API sin rate limiting, paginación o límites de recursos — permitiendo a atacantes agotar recursos del servidor, generar costos o extraer datasets grandes.

CWE-770API4:2023