CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34456

Critical
Published: Translated: NVD NIST

Summary

Reviactyl to otwartoźródłowy panel zarządzania serwerem gier, który miał podatność w procesie uwierzytelniania OAuth. W wersjach od 26.2.0-beta.1 do przed 26.2.0-beta.5, atakujący mógł automatycznie powiązać konta społecznościowe na podstawie dopasowania adresów e-mail, co prowadziło do przejęcia konta ofiary bez znajomości hasła.

Risk Assessment

Organizacja narażona jest na ryzyko przejęcia kont użytkowników, co może prowadzić do utraty danych oraz naruszenia prywatności. Atakujący może uzyskać pełny dostęp do konta ofiary bez wcześniejszej autoryzacji.

Recommendation

Zaleca się aktualizację do wersji 26.2.0-beta.5 lub nowszej, aby usunąć tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych środków zabezpieczających w procesie uwierzytelniania.

Original NVD description (English source)

Reviactyl is an open-source game server management panel built using Laravel, React, FilamentPHP, Vite, and Go. From version 26.2.0-beta.1 to before version 26.2.0-beta.5, a vulnerability in the OAuth authentication flow allowed automatic linking of social accounts based solely on matching email addresses. An attacker could create or control a social account (e.g., Google, GitHub, Discord) using a victim’s email address and gain full access to the victim's account without knowing their password. This results in a full account takeover with no prior authentication required. This issue has been patched in version 26.2.0-beta.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS