Pubblicato il 2026-07-16 · Fonte: NVD NIST
La vulnerabilità CVE-2026-63087 è una critica vulnerabilità di accesso non autenticato in Grafana OnCall, che consente agli attaccanti di ottenere un token di autenticazione valido inviando una richiesta POST all'endpoint di installazione dei plugin interni. Ciò può essere fatto utilizzando valori di stack_id e org_id predefiniti presenti nel codice sorgente pubblico. La vulnerabilità non è ancora stata sfruttata attivamente, ma ha un punteggio CVSS di 9,8, indicando un impatto critico.
Un attaccante che sfrutta questa vulnerabilità può ottenere l'accesso a tutte le API interne, creare utenti amministrativi arbitrari, revocare il token di autenticazione legittimo e reindirizzare le chiamate API da OnCall a Grafana verso un host controllato dall'attaccante. Ciò può portare a una compromissione completa del sistema e a gravi conseguenze per la sicurezza.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Grafana OnCall alla versione più recente disponibile. Inoltre, è importante assicurarsi che le configurazioni di sicurezza siano adeguate e che le autorizzazioni siano limitate ai soli utenti autorizzati. In assenza di un aggiornamento disponibile, si possono implementare workaround come il blocco delle richieste POST all'endpoint di installazione dei plugin interni o l'implementazione di un sistema di autenticazione aggiuntivo.
La vulnerabilità CVE-2026-63087 è una critica vulnerabilità di accesso non autenticato in Grafana OnCall che consente agli attaccanti di ottenere un token di autenticazione valido.
La vulnerabilità può portare a una compromissione completa del sistema e a gravi conseguenze per la sicurezza, inclusa la creazione di utenti amministrativi arbitrari e il reindirizzamento delle chiamate API.
Per proteggersi, si consiglia di aggiornare Grafana OnCall alla versione più recente disponibile e di implementare configurazioni di sicurezza adeguate, come il blocco delle richieste POST all'endpoint di installazione dei plugin interni.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.