CVE-2026-63087 in oncallالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تحتوي Grafana OnCall حتى الإصدار 1.16.11 على ثغرة تسمح بالوصول غير المصادق عليه، مما يتيح للمهاجمين عن بُعد الحصول على PluginAuthToken صالح من خلال إرسال طلب POST إلى نقطة نهاية تثبيت البرنامج المساعد الداخلي باستخدام قيم stack_id وorg_id الافتراضية الثابتة الموجودة في شجرة المصدر العامة. يمكن للمهاجمين استغلال الرمز المكتسب للتحقق ضد جميع نقاط النهاية لواجهة برمجة التطبيقات الداخلية، وإنشاء مستخدمين Admin بشكل تعسفي عبر مسار التمهيد الخاص برأس سياق المستخدم (user-context header)، وإلغاء سريان رمز البرنامج المساعد الشرعي، وإعادة توجيه استدعاءات واجهة برمجة التطبيقات من OnCall إلى Grafana إلى مضيف يتحكم فيه المهاجم عن طريق الكتابة فوق grafana_url وapi_token الخاصة بالمنظمة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

VulnCheck

حجز

15/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379598

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!