CVE-2026-63087 in oncall
Riassunto
di VulDB • 16/07/2026
Grafana OnCall fino alla versione 1.16.11 presenta una vulnerabilità di accesso non autenticato che consente agli attaccanti remoti di ottenere un PluginAuthToken valido inviando una richiesta POST all'endpoint interno per l'installazione dei plugin, utilizzando valori hardcoded predefiniti di stack_id e org_id presenti nell'albero del codice sorgente pubblico. Gli attaccanti possono sfruttare il token acquisito per autenticarsi contro tutti gli endpoint API interni, creare utenti Admin arbitrari tramite la procedura di bootstrap nel contesto dell'intestazione user-context, revocare il token plugin legittimo e reindirizzare le chiamate API da OnCall a Grafana verso un host controllato dall'attaccante sovrascrivendo grafana_url e api_token dell'organizzazione.
If you want to get best quality of vulnerability data, you may have to visit VulDB.