Scanner gratuitement
CRITICALCVE-2026-34456CVSS 9.1

Reviactyl est un panneau de gestion de serveurs de jeux open-source construit avec Laravel, React, FilamentPHP, Vite et Go. De la version 26.2.0-beta.1 à avant la version 26.2.0-beta.5, une vulnérabilité dans le flux d'authentification OAuth permettait le lien automatique de comptes sociaux basé uniquement sur des adresses e-mail correspondantes. Un attaquant pouvait créer ou contrôler un compte social (par exemple, Google, GitHub, Discord) en utilisant l'adresse e-mail d'une victime et obtenir un accès complet au compte de la victime sans connaître son mot de passe.

Plateforme

laravel

Composant

laravel

Corrigé dans

26.2.1

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-34456 concerne Reviactyl, un panneau de gestion de serveurs de jeux open-source basé sur Laravel. Cette faille critique dans le flux d'authentification OAuth permet à un attaquant de lier automatiquement des comptes sociaux (Google, GitHub, Discord, etc.) à un compte Reviactyl en utilisant simplement une adresse email correspondante. Les versions affectées sont celles comprises entre 26.2.0-beta.1 et 26.2.0-beta.5. La correction est disponible dans la version 26.2.0-beta.5.

PHP / Composer

Détecte cette CVE dans ton projet

Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.

Téléverser composer.lock

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est extrêmement grave. Un attaquant peut créer ou contrôler un compte social utilisant l'adresse email d'une victime et obtenir un accès complet à son compte Reviactyl, sans nécessiter d'authentification préalable. Cela permet une prise de contrôle totale du compte, donnant à l'attaquant la capacité de modifier les paramètres du serveur de jeu, d'accéder aux données des utilisateurs, et potentiellement de compromettre d'autres systèmes connectés. Cette vulnérabilité est similaire à d'autres failles d'authentification OAuth mal configurées qui ont conduit à des violations de données importantes dans le passé. La simplicité de l'exploitation rend cette vulnérabilité particulièrement dangereuse.

Contexte d'Exploitation

Cette vulnérabilité a été rendue publique le 2026-04-01. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la simplicité de l'exploitation et la gravité de l'impact suggèrent un risque élevé. Il est probable que des preuves de concept (PoC) seront rapidement disponibles. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA, mais sa criticité pourrait entraîner son ajout à l'avenir.

Qui Est à Risquetraduction en cours…

Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.

Étapes de Détectiontraduction en cours…

• linux / server:

journalctl -u reviactyl | grep -i "social account linking"

• generic web:

curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.08% (percentile 24%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N9.1CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantlaravel
Fournisseurreviactyl
Plage affectéeCorrigé dans
>= 26.2.0-beta.1, < 26.2.0-beta.5 – >= 26.2.0-beta.1, < 26.2.0-beta.526.2.1

Classification de Faiblesse (CWE)

CWE-284

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour Reviactyl vers la version 26.2.0-beta.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'authentification OAuth ou de restreindre les fournisseurs OAuth autorisés. En attendant la mise à jour, examinez attentivement les logs d'authentification pour détecter des tentatives de lien de comptes suspectes. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic OAuth est conseillée. Après la mise à jour, vérifiez que l'authentification OAuth fonctionne correctement et qu'il n'y a pas de nouvelles tentatives de connexion suspectes.

Comment corriger

Mettez à jour Reviactyl Panel à la version 26.2.0-beta.5 ou supérieure. Cette version corrige la vulnérabilité de liaison automatique de comptes OAuth basée sur les adresses e-mail, empêchant la prise de contrôle de comptes.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-34456 — Account Takeover in Reviactyl?

CVE-2026-34456 is a critical vulnerability in Reviactyl that allows attackers to gain full account access by linking social accounts using a matching email address, bypassing password authentication.

Am I affected by CVE-2026-34456 in Reviactyl?

You are affected if you are using Reviactyl versions 26.2.0-beta.1 through 26.2.0-beta.4. Upgrade immediately to mitigate the risk.

How do I fix CVE-2026-34456 in Reviactyl?

Upgrade Reviactyl to version 26.2.0-beta.5 or later. As a temporary workaround, disable automatic social account linking in the configuration.

Is CVE-2026-34456 being actively exploited?

There is currently no confirmed evidence of active exploitation, but the ease of exploitation suggests a potential for opportunistic attacks.

Where can I find the official Reviactyl advisory for CVE-2026-34456?

Refer to the Reviactyl project's official release notes and security advisories on their GitHub repository or website for the latest information.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE