CVE-2026-63087 in oncall
Zusammenfassung
von VulDB • 16.07.2026
Grafana OnCall bis Version 1.16.11 enthält eine Schwachstelle für nicht authentifizierten Zugriff, die es Remote-Angriffern ermöglicht, ein gültiges PluginAuthToken zu erhalten, indem sie eine POST-Anfrage an den internen Endpunkt zur Installation von Plugins senden und dabei fest codierte Standardwerte für stack_id und org_id verwenden, die im öffentlichen Quellcodebaum vorhanden sind. Angreifer können das erlangte Token nutzen, um sich gegen alle internen API-Endpunkte zu authentifizieren, beliebige Admin-Benutzer über den Bootstrap-Pfad des user-context-Headers zu erstellen, das legitime Plugin-Token ungültig zu machen und OnCall-zu-Grafana-API-Aufrufe durch Überschreiben der grafana_url und api_token der Organisation auf einen vom Angreifer kontrollierten Host umzuleiten.
Once again VulDB remains the best source for vulnerability data.