CVE-2026-53514 in Better Auth
الملخص
بحسب VulDB • 15/07/2026
Better Auth هي مكتبة للمصادقة والتفويض مخصصة لـ TypeScript. قبل الإصدار 1.6.11، وفي الإصدارات 1.6.14 وما يليها عندما يمكن الحصول على معرفات الدعوة خارج صندوق البريد المخصص للمستخدم المدعو وعدم تفعيل خيار requireEmailVerificationOnInvitation: true، تستخدم نقاط النهاية الخاصة بقبول الدعوة (acceptInvitation)، ورفض الدعوة (rejectInvitation)، والحصول على تفاصيل الدعوة (getInvitation)، وقائمة دعوات المستخدم (listUserInvitations) في إضافة المنظمة (organization plugin) عنوان البريد الإلكتروني للمستخدم من الجلسة الحالية (session.user.email) ومعرف الدعوة دون إثبات كافٍ لملكية البريد الإلكتروني بعد التحقق منه، مما يسمح لمستخدم لديه جلسة غير مصادق عليها لعنوان البريد الإلكتروني المدعو بقبول دعوة الانضمام إلى منظمة بمجرد الحصول على معرف الدعوة. تم إصلاح هذه المشكلة في السلوك الافتراضي الأصلي المتوفر في الإصدار 1.6.11، بينما أعاد الإصدار 1.6.14 التوافق مع معرفات الدعوات الشفافة المدمجة وترك الإعدادات المتأثرة تتطلب خيارات أمنية مشددة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.