Reviactyl is een open-source game server management panel gebouwd met Laravel, React, FilamentPHP, Vite en Go. Van versie 26.2.0-beta.1 tot vóór versie 26.2.0-beta.5, maakte een kwetsbaarheid in de OAuth authenticatie flow automatische koppeling van sociale accounts mogelijk op basis van uitsluitend overeenkomende e-mailadressen. Een aanvaller kon een sociaal account (bijv. Google, GitHub, Discord) aanmaken of controleren met behulp van het e-mailadres van een slachtoffer en volledige toegang krijgen tot het account van het slachtoffer zonder hun wachtwoord te kennen.

De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om volledige controle te krijgen over een Reviactyl account zonder enige vorm van authenticatie, zoals een wachtwoord. Dit betekent dat de aanvaller toegang kan krijgen tot alle data en functionaliteit die aan het account verbonden zijn, inclusief game server configuraties, gebruikersgegevens en potentieel gevoelige informatie. De aanvaller kan het account misbruiken voor kwaadaardige doeleinden, zoals het manipuleren van game servers, het stelen van gebruikersgegevens of het uitvoeren van aanvallen op andere systemen. Er is geen bekende precedent voor soortgelijke exploits in Laravel-gebaseerde panelen, maar de ernst van de kwetsbaarheid rechtvaardigt onmiddellijke aandacht en mitigatie.

Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.

• linux / server:

journalctl -u reviactyl | grep -i "social account linking"

• generic web:

curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"

1. 2026-04-01Disclosure

   disclosure

1. Gereserveerd2026-03-27
2. Gepubliceerd2026-04-01
3. Gewijzigd2026-04-03
4. EPSS bijgewerkt2026-04-09

De primaire mitigatie voor CVE-2026-34456 is het upgraden van Reviactyl naar versie 26.2.0-beta.5 of hoger. Deze versie bevat de benodigde correcties om de kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de OAuth authenticatie flow of het implementeren van extra authenticatie stappen. Controleer de Reviactyl documentatie voor specifieke configuratie-opties. Het is ook raadzaam om de social account koppeling te monitoren op ongebruikelijke activiteit. Na de upgrade, verifieer de correcte werking van de OAuth authenticatie door een testkoppeling uit te voeren.