PT-2026-60508 · Grafana · Grafana Oncall

·

CVE-2026-63087

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Grafana OnCall versões anteriores a 1.16.12
Descrição Existe um problema de acesso não autenticado onde invasores remotos podem obter um PluginAuthToken válido enviando uma requisição POST para o endpoint interno de instalação de plugins. Isso é possível utilizando valores padrão fixos de stack id e org id encontrados na árvore de código fonte pública. Uma vez obtido o token, um invasor pode se autenticar em todos os endpoints de API internos, criar usuários Administradores arbitrários via caminho de bootstrap do cabeçalho de contexto de usuário, revogar o token de plugin legítimo e redirecionar chamadas de API do OnCall para o Grafana para um host controlado pelo invasor, sobrescrevendo as variáveis grafana url e api token.
Recomendações Restringir o acesso de rede a quaisquer instâncias remanescentes. Migrar do Grafana OnCall OSS.

Exploit

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-63087

Produtos afetados

Grafana Oncall