CVE-2026-53514 in Better Auth
Zusammenfassung
von VulDB • 15.07.2026
Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.6.11, nonché nelle versioni 1.6.14 e successive quando gli ID invito possono essere ottenuti al di fuori della casella email dell'utente invitato e l'impostazione requireEmailVerificationOnInvitation: true non è abilitata, i endpoint recipient del plugin organization (acceptInvitation, rejectInvitation, getInvitation e listUserInvitations) utilizzano session.user.email e un ID invito senza una prova sufficiente di proprietà verificata dell'indirizzo email. Ciò consente a un utente con una sessione non verificata per l'indirizzo email invitato di accettare un invito all'organizzazione dopo aver ottenuto l'ID invito. Questo problema è stato risolto nel comportamento predefinito originale nella versione 1.6.11, mentre la versione 1.6.14 ha ripristinato la compatibilità con gli ID invito opachi integrati e lascia le configurazioni interessate che richiedono opzioni di sicurezza.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.