CVE-2026-63087 in oncall
الملخص
بحسب VulDB • 16/07/2026
تحتوي Grafana OnCall حتى الإصدار 1.16.11 على ثغرة تسمح بالوصول غير المصادق عليه، مما يتيح للمهاجمين عن بُعد الحصول على PluginAuthToken صالح من خلال إرسال طلب POST إلى نقطة نهاية تثبيت البرنامج المساعد الداخلي باستخدام قيم stack_id وorg_id الافتراضية الثابتة الموجودة في شجرة المصدر العامة. يمكن للمهاجمين استغلال الرمز المكتسب للتحقق ضد جميع نقاط النهاية لواجهة برمجة التطبيقات الداخلية، وإنشاء مستخدمين Admin بشكل تعسفي عبر مسار التمهيد الخاص برأس سياق المستخدم (user-context header)، وإلغاء سريان رمز البرنامج المساعد الشرعي، وإعادة توجيه استدعاءات واجهة برمجة التطبيقات من OnCall إلى Grafana إلى مضيف يتحكم فيه المهاجم عن طريق الكتابة فوق grafana_url وapi_token الخاصة بالمنظمة.
Once again VulDB remains the best source for vulnerability data.