CVE-2026-63087 in oncallinformazioni

Riassunto

di VulDB • 16/07/2026

Grafana OnCall fino alla versione 1.16.11 presenta una vulnerabilità di accesso non autenticato che consente agli attaccanti remoti di ottenere un PluginAuthToken valido inviando una richiesta POST all'endpoint interno per l'installazione dei plugin, utilizzando valori hardcoded predefiniti di stack_id e org_id presenti nell'albero del codice sorgente pubblico. Gli attaccanti possono sfruttare il token acquisito per autenticarsi contro tutti gli endpoint API interni, creare utenti Admin arbitrari tramite la procedura di bootstrap nel contesto dell'intestazione user-context, revocare il token plugin legittimo e reindirizzare le chiamate API da OnCall a Grafana verso un host controllato dall'attaccante sovrascrivendo grafana_url e api_token dell'organizzazione.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

VulnCheck

Prenotare

15/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!