Reviactyl est un panneau de gestion de serveurs de jeux open-source construit avec Laravel, React, FilamentPHP, Vite et Go. De la version 26.2.0-beta.1 à avant la version 26.2.0-beta.5, une vulnérabilité dans le flux d'authentification OAuth permettait le lien automatique de comptes sociaux basé uniquement sur des adresses e-mail correspondantes. Un attaquant pouvait créer ou contrôler un compte social (par exemple, Google, GitHub, Discord) en utilisant l'adresse e-mail d'une victime et obtenir un accès complet au compte de la victime sans connaître son mot de passe.

L'impact de cette vulnérabilité est extrêmement grave. Un attaquant peut créer ou contrôler un compte social utilisant l'adresse email d'une victime et obtenir un accès complet à son compte Reviactyl, sans nécessiter d'authentification préalable. Cela permet une prise de contrôle totale du compte, donnant à l'attaquant la capacité de modifier les paramètres du serveur de jeu, d'accéder aux données des utilisateurs, et potentiellement de compromettre d'autres systèmes connectés. Cette vulnérabilité est similaire à d'autres failles d'authentification OAuth mal configurées qui ont conduit à des violations de données importantes dans le passé. La simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse.

Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.

• linux / server:

journalctl -u reviactyl | grep -i "social account linking"

• generic web:

curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"

1. 2026-04-01Disclosure

   disclosure

1. Réservé2026-03-27
2. Publiée2026-04-01
3. Modifiée2026-04-03
4. EPSS mis à jour2026-04-09

La mitigation principale consiste à mettre à jour Reviactyl vers la version 26.2.0-beta.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'authentification OAuth ou de restreindre les fournisseurs OAuth autorisés. En attendant la mise à jour, examinez attentivement les logs d'authentification pour détecter des tentatives de lien de comptes suspectes. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic OAuth est conseillée. Après la mise à jour, vérifiez que l'authentification OAuth fonctionne correctement et qu'il n'y a pas de nouvelles tentatives de connexion suspectes.