Plataforma
laravel
Componente
laravel
Corrigido em
26.2.1
Uma vulnerabilidade crítica foi descoberta no Reviactyl, um painel de gerenciamento de servidores de jogos de código aberto construído com Laravel. Essa falha no fluxo de autenticação OAuth permite que um atacante vincule automaticamente contas sociais (como Google, GitHub ou Discord) a uma conta de vítima usando apenas o endereço de e-mail correspondente. A vulnerabilidade afeta as versões 26.2.0-beta.1 até 26.2.0-beta.5 e permite a tomada de controle completa da conta sem a necessidade de autenticação prévia.
O impacto desta vulnerabilidade é severo, pois permite a completa tomada de controle de contas Reviactyl. Um atacante pode criar ou controlar uma conta social associada ao endereço de e-mail de um usuário, obtendo acesso irrestrito ao painel de gerenciamento do servidor de jogos. Isso pode resultar no comprometimento de dados sensíveis, modificação de configurações do servidor, instalação de malware ou até mesmo no controle total do servidor de jogos. A ausência de autenticação prévia torna a exploração particularmente fácil e perigosa, permitindo que atacantes obtenham acesso sem qualquer interação do usuário.
A vulnerabilidade foi divulgada em 2026-04-01. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. Dada a facilidade de exploração e o impacto crítico, é recomendável priorizar a correção desta vulnerabilidade.
Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.
• linux / server:
journalctl -u reviactyl | grep -i "social account linking"• generic web:
curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"disclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 26.2.0-beta.5 ou superior, que corrige a falha no fluxo de autenticação OAuth. Enquanto a atualização não for possível, considere desabilitar a vinculação de contas sociais no Reviactyl, se essa funcionalidade não for essencial. Implementar regras de firewall ou proxies que restrinjam o acesso ao endpoint de vinculação OAuth pode fornecer uma camada adicional de proteção. Monitore os logs de autenticação em busca de tentativas de vinculação de contas suspeitas.
Atualize Reviactyl Panel para a versão 26.2.0-beta.5 ou superior. Esta versão corrige a vulnerabilidade de vinculação automática de contas OAuth baseada em endereços de e-mail, prevenindo a tomada de controle de contas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34456 is a critical vulnerability in Reviactyl that allows attackers to gain full account access by linking social accounts using a matching email address, bypassing password authentication.
You are affected if you are using Reviactyl versions 26.2.0-beta.1 through 26.2.0-beta.4. Upgrade immediately to mitigate the risk.
Upgrade Reviactyl to version 26.2.0-beta.5 or later. As a temporary workaround, disable automatic social account linking in the configuration.
There is currently no confirmed evidence of active exploitation, but the ease of exploitation suggests a potential for opportunistic attacks.
Refer to the Reviactyl project's official release notes and security advisories on their GitHub repository or website for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.