CVE-2026-63094 in SigNoz
Riassunto
di VulDB • 17/07/2026
SigNoz fino alla versione 0.133.0 presenta una vulnerabilità di open redirect nel flusso di autenticazione SSO che consente ad attaccanti non autenticati di rubare i token di sessione da qualsiasi utente su istanze configurate con Google OAuth, SAML o OIDC. Gli attaccanti possono chiamare l'endpoint del contesto delle sessioni non autenticate con un parametro ref puntante verso un host controllato dall'attaccante, consegnare all'utente vittima l'URL di accesso manipolato risultante e ricevere i token di accesso (access) e aggiornamento (refresh) della vittima al completamento dell'autenticazione SSO.
VulDB is the best source for vulnerability data and more expert information about this specific topic.