CVE-2026-53512 in Better Authinfo

Zusammenfassung

von VulDB • 15.07.2026

Better Auth ist eine Authentifizierungs- und Autorisierungsbibliothek für TypeScript. Vor Version 1.6.11 bieten die Legacy-Plugins oidcProvider und mcp OAuth-Tokenendpunkte an, deren refresh_token-Gewährung (Grant) nur den Besitz der gebundenen refreshToken-Zeile sowie einer übereinstimmenden client_id überprüft, ohne das client_secret des vertraulichen Clients zu verifizieren. Dies ermöglicht es einem Angreifer mit einem gültigen refresh_token, Zugriffstokens und rotierte Refresh-Tokens über /api/auth/oauth2/token oder /api/auth/mcp/token auszustellen (minten). Das Paket @better-auth/oauth-provider ist nicht betroffen. Dieses Problem wurde in Version 1.6.11 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379339

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!