प्लेटफ़ॉर्म
laravel
घटक
laravel
में ठीक किया गया
26.2.1
Reviactyl, एक ओपन-सोर्स गेम सर्वर प्रबंधन पैनल जो Laravel पर आधारित है, में OAuth प्रमाणीकरण प्रवाह में एक गंभीर सुरक्षा दोष पाया गया है। इस दोष के कारण, हमलावर केवल ईमेल पते से सोशल अकाउंट को स्वचालित रूप से लिंक कर सकते हैं, जिससे वे पीड़ित के खाते को बिना पासवर्ड के पूरी तरह से नियंत्रित कर सकते हैं। यह दोष Reviactyl के संस्करण 26.2.0-beta.1 से लेकर 26.2.0-beta.5 तक मौजूद था, और इसे 26.2.0-beta.5 में ठीक कर दिया गया है।
यह दोष हमलावरों को पीड़ित के Reviactyl खाते पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देता है। हमलावर पीड़ित के गेम सर्वर को नियंत्रित कर सकता है, डेटा चोरी कर सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। चूंकि हमलावर को पीड़ित के पासवर्ड की आवश्यकता नहीं होती है, इसलिए यह दोष विशेष रूप से खतरनाक है। इस तरह के हमले से गेम सर्वर की सुरक्षा और अखंडता को गंभीर खतरा हो सकता है, जिससे खिलाड़ियों और सर्वर ऑपरेटरों दोनों को नुकसान हो सकता है। यह दोष अन्य OAuth-आधारित अनुप्रयोगों में समान कमजोरियों की संभावना को भी उजागर करता है, जहां ईमेल पते का उपयोग प्रमाणीकरण के लिए किया जाता है।
CVE-2026-34456 को अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक आकर्षक लक्ष्य है। इस दोष को CISA KEV सूची में जोड़ा जाना बाकी है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन इस तरह के दोषों के लिए शोषण विकास की संभावना है।
Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.
• linux / server:
journalctl -u reviactyl | grep -i "social account linking"• generic web:
curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
इस दोष को कम करने के लिए, Reviactyl को तुरंत संस्करण 26.2.0-beta.5 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो OAuth प्रमाणीकरण प्रवाह को मजबूत करने के लिए अस्थायी उपाय किए जा सकते हैं। इसमें सोशल अकाउंट लिंकिंग के लिए अतिरिक्त प्रमाणीकरण चरणों को लागू करना शामिल हो सकता है, जैसे कि दो-कारक प्रमाणीकरण (2FA)। इसके अतिरिक्त, Reviactyl के कॉन्फ़िगरेशन की समीक्षा करना और यह सुनिश्चित करना महत्वपूर्ण है कि केवल विश्वसनीय सोशल अकाउंट प्रदाताओं का उपयोग किया जा रहा है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि दोष ठीक हो गया है, OAuth प्रमाणीकरण प्रवाह का परीक्षण करें।
Actualice Reviactyl Panel a la versión 26.2.0-beta.5 o superior. Esta versión corrige la vulnerabilidad de vinculación automática de cuentas OAuth basada en direcciones de correo electrónico, previniendo la toma de control de cuentas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34456 Reviactyl में एक गंभीर सुरक्षा दोष है जो हमलावरों को केवल ईमेल पते से सोशल अकाउंट को स्वचालित रूप से लिंक करने की अनुमति देता है, जिससे खाता नियंत्रण खो सकता है।
यदि आप Reviactyl के संस्करण 26.2.0-beta.1 से 26.2.0-beta.5 का उपयोग कर रहे हैं, तो आप इस दोष से प्रभावित हैं।
इस दोष को ठीक करने के लिए, Reviactyl को तुरंत संस्करण 26.2.0-beta.5 में अपडेट करें।
CVE-2026-34456 को अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता के कारण, यह शोषण के लिए एक संभावित लक्ष्य है।
कृपया Reviactyl की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी composer.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।