CVE-2026-53512 in Better Auth
الملخص
بحسب VulDB • 16/07/2026
Better Auth هي مكتبة للمصادقة والتفويض مخصصة لـ TypeScript. قبل الإصدار 1.6.11، كانت الإضافات القديمة `oidcProvider` و `mcp` تعرض نقاط نهاية (endpoints) لتوكن OAuth حيث يمنح تفويض `refresh_token` المصادقة بناءً على حيازة صف refreshToken المرتبط ومعرف العميل (`client_id`) المطابق فقط، دون التحقق من سر العميل السري (`client_secret`) للعميل السري. هذا يسمح لمهاجم يمتلك توكن تحديث صالح بإنشاء توكنات وصول وتوكنات تحديث دورانية عبر `/api/auth/oauth2/token` أو `/api/auth/mcp/token`. حزمة `@better-auth/oauth-provider` غير متأثرة بهذه المشكلة. تم إصلاح هذه الثغرة في الإصدار 1.6.11.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.