Versões do Pterodactyl Panel <= 1.6.6

Existe uma vulnerabilidade que poderia permitir que um invasor mal-intencionado, ao comprometer uma chave de API, gerasse uma sessão de usuário autenticada que não fosse revogada quando a chave de API fosse excluída, permitindo assim que o usuário mal-intencionado permanecesse conectado como o usuário ao qual a chave pertencia. É importante observar que, para explorar essa vulnerabilidade, um usuário mal-intencionado deve primeiro comprometer uma chave API existente de um usuário. Ela não pode ser explorada por acaso e requer um ataque coordenado contra uma conta individual usando uma chave API conhecida.

Para versões <= 1.6.6, atualize para a versão 1.7.0 para corrigir o problema.

Como solução alternativa temporária para aqueles que não desejam atualizar, aplique o patch fornecido ao arquivo AuthenticateKey.php, alterando $this->auth->guard()->loginUsingId($model->user id); para $this->auth->guard()->onceUsingId($model->user id);.