Reviactylは、Laravel、React、FilamentPHP、Vite、Goを使用して構築されたオープンソースのゲームサーバー管理パネルです。バージョン26.2.0-beta.1からバージョン26.2.0-beta.5の前に、OAuth認証フローにおける脆弱性により、メールアドレスの一致のみに基づいてソーシャルアカウントを自動的にリンクすることが可能でした。攻撃者は、被害者のメールアドレスを使用してソーシャルアカウント（例：Google、GitHub、Discord）を作成または制御し、パスワードを知らずに被害者のアカウントへの完全なアクセス権を得ることができました。

この脆弱性は、攻撃者が被害者のメールアドレスと一致するソーシャルアカウント（Google、GitHub、Discordなど）を作成または制御することで、Reviactylアカウントへの完全な乗っ取りを可能にします。攻撃者は、アカウントのフルコントロールを獲得し、機密情報へのアクセス、設定の変更、さらには他のゲームサーバーへの不正アクセスなど、広範囲な悪用を行う可能性があります。この脆弱性の悪用は、ゲームサーバーの運用全体に深刻な影響を及ぼす可能性があります。類似のOAuth認証フローの脆弱性が過去に報告されており、攻撃者はこれらの事例を参考に攻撃手法を開発する可能性があります。

Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.

• linux / server:

journalctl -u reviactyl | grep -i "social account linking"

• generic web:

curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"

1. 2026-04-01Disclosure

   disclosure

1. 予約済み2026-03-27
2. 公開日2026-04-01
3. 更新日2026-04-03
4. EPSS 更新日2026-04-09

Reviactylのバージョンを26.2.0-beta.5以降にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、OAuth認証フローを一時的に無効化するか、ソーシャルアカウントのリンクプロセスに多要素認証を導入することを検討してください。WAF（Web Application Firewall）を導入し、OAuth認証フローに関連する異常なリクエストを検出・ブロックするルールを設定することも有効です。Reviactylのログを監視し、OAuth認証に関連する不審なアクティビティを検出するためのカスタムアラートを作成してください。