Reviactyl : prise de contrôle de compte OAuth via la liaison automatique

Reviactyl est un panneau de gestion de serveur de jeu open source construit à l’aide de Laravel, React, FilamentPHP, Vite et Go. De la version 26.2.0-beta.1 à la version antérieure à la version 26.2.0-beta.5, une vulnérabilité dans le flux d’authentification OAuth permettait la liaison automatique de comptes de réseaux sociaux basée uniquement sur la correspondance des adresses e-mail. Un attaquant pouvait créer ou contrôler un compte de réseau social (par exemple, Google, GitHub, Discord) en utilisant l’adresse e-mail d’une victime et obtenir un accès complet au compte de la victime sans connaître son mot de passe. Cela entraîne une prise de contrôle complète du compte sans authentification préalable requise. Ce problème a été corrigé dans la version 26.2.0-beta.5.