CVE-2026-53514 in Better Authinfo

Zusammenfassung

von VulDB • 15.07.2026

Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.6.11, nonché nelle versioni 1.6.14 e successive quando gli ID invito possono essere ottenuti al di fuori della casella email dell'utente invitato e l'impostazione requireEmailVerificationOnInvitation: true non è abilitata, i endpoint recipient del plugin organization (acceptInvitation, rejectInvitation, getInvitation e listUserInvitations) utilizzano session.user.email e un ID invito senza una prova sufficiente di proprietà verificata dell'indirizzo email. Ciò consente a un utente con una sessione non verificata per l'indirizzo email invitato di accettare un invito all'organizzazione dopo aver ottenuto l'ID invito. Questo problema è stato risolto nel comportamento predefinito originale nella versione 1.6.11, mentre la versione 1.6.14 ha ripristinato la compatibilità con gli ID invito opachi integrati e lascia le configurazioni interessate che richiedono opzioni di sicurezza.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379353

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!