CVE-2026-34456
KrytyczneStreszczenie
Reviactyl to otwartoźródłowy panel zarządzania serwerem gier, który miał podatność w procesie uwierzytelniania OAuth. W wersjach od 26.2.0-beta.1 do przed 26.2.0-beta.5, atakujący mógł automatycznie powiązać konta społecznościowe na podstawie dopasowania adresów e-mail, co prowadziło do przejęcia konta ofiary bez znajomości hasła.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kont użytkowników, co może prowadzić do utraty danych oraz naruszenia prywatności. Atakujący może uzyskać pełny dostęp do konta ofiary bez wcześniejszej autoryzacji.
Rekomendacja
Zaleca się aktualizację do wersji 26.2.0-beta.5 lub nowszej, aby usunąć tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych środków zabezpieczających w procesie uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
Reviactyl is an open-source game server management panel built using Laravel, React, FilamentPHP, Vite, and Go. From version 26.2.0-beta.1 to before version 26.2.0-beta.5, a vulnerability in the OAuth authentication flow allowed automatic linking of social accounts based solely on matching email addresses. An attacker could create or control a social account (e.g., Google, GitHub, Discord) using a victim’s email address and gain full access to the victim's account without knowing their password. This results in a full account takeover with no prior authentication required. This issue has been patched in version 26.2.0-beta.5.

