平台
laravel
组件
laravel
修复版本
26.2.1
CVE-2026-34456 是一个在 Laravel Reviactyl 游戏服务器管理面板中发现的 OAuth 认证流程漏洞。该漏洞允许攻击者通过匹配电子邮件地址自动关联社交账户,从而实现未经身份验证的完全账户接管。受影响的版本包括 26.2.0-beta.1 到 26.2.0-beta.5。已发布安全补丁,建议立即升级。
该漏洞的影响极其严重,攻击者无需任何密码即可完全控制受影响的 Reviactyl 账户。攻击者可以利用此漏洞访问敏感数据,修改服务器配置,甚至执行恶意代码。攻击场景包括:攻击者创建一个使用受害者电子邮件地址的社交账户(例如 Google、GitHub、Discord),然后利用 Reviactyl 的 OAuth 认证流程自动关联该社交账户到受害者的 Reviactyl 账户。由于无需密码,攻击者可以绕过正常的身份验证机制,直接获得账户控制权。这种攻击模式类似于某些社交媒体平台的账户接管事件,可能导致严重的数据泄露和系统破坏。
该漏洞已公开披露,且 CVSS 评分为 CRITICAL,表明其具有极高的利用风险。目前尚未发现公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注相关安全公告。
Game server administrators and users of Reviactyl are at risk, particularly those who rely on social account linking for authentication. Shared hosting environments where multiple users share the same domain are also at increased risk, as an attacker could potentially leverage this vulnerability to compromise multiple accounts.
• linux / server:
journalctl -u reviactyl | grep -i "social account linking"• generic web:
curl -I https://your-reviactyl-instance/auth/social/callback | grep -i "email"disclosure
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将 Reviactyl 升级至 26.2.0-beta.5 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:禁用自动社交账户关联功能(如果 Reviactyl 提供了此选项)。实施更严格的 OAuth 验证策略,例如要求用户手动确认社交账户关联请求。审查 Reviactyl 的配置,确保没有其他潜在的安全漏洞。升级后,请验证 OAuth 认证流程是否正常工作,并检查是否有任何异常活动。
将 Reviactyl Panel 更新到版本 26.2.0-beta.5 或更高版本。此版本修复了基于电子邮件地址的 OAuth 帐户自动关联漏洞,从而防止帐户接管。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34456 是一个在 Laravel Reviactyl 游戏服务器管理面板中发现的 OAuth 认证流程漏洞,允许攻击者通过匹配电子邮件地址自动关联社交账户,实现账户接管。
如果您正在使用 Laravel Reviactyl 的 26.2.0-beta.1 到 26.2.0-beta.5 版本,则可能受到此漏洞的影响。
请立即将 Laravel Reviactyl 升级至 26.2.0-beta.5 或更高版本。
虽然目前尚未发现公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Laravel Reviactyl 的官方网站或 GitHub 仓库,查找有关 CVE-2026-34456 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的 composer.lock 文件,立即知道是否受影响。