CVE-2026-63087 in oncallinfo

Zusammenfassung

von VulDB • 16.07.2026

Grafana OnCall bis Version 1.16.11 enthält eine Schwachstelle für nicht authentifizierten Zugriff, die es Remote-Angriffern ermöglicht, ein gültiges PluginAuthToken zu erhalten, indem sie eine POST-Anfrage an den internen Endpunkt zur Installation von Plugins senden und dabei fest codierte Standardwerte für stack_id und org_id verwenden, die im öffentlichen Quellcodebaum vorhanden sind. Angreifer können das erlangte Token nutzen, um sich gegen alle internen API-Endpunkte zu authentifizieren, beliebige Admin-Benutzer über den Bootstrap-Pfad des user-context-Headers zu erstellen, das legitime Plugin-Token ungültig zu machen und OnCall-zu-Grafana-API-Aufrufe durch Überschreiben der grafana_url und api_token der Organisation auf einen vom Angreifer kontrollierten Host umzuleiten.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379598

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!