CVE-2026-53516 in Better Authinfo

Zusammenfassung

von VulDB • 16.07.2026

Better Auth ist eine Authentifizierungs- und Autorisierungsbibliothek für TypeScript. Vor Version 1.6.11 akzeptiert das Auto-Link-Gate des OAuth-Callbacks in `handleOAuthUserInfo` ein implizites Kontoverknüpfen, wenn der OAuth-Anbieter `email_verified: true` angibt, ohne dass auch das Feld `emailVerified` der lokalen Benutzerzeile auf `true` gesetzt sein muss. Dies ermöglicht es einem Angreifer, die OAuth-Identität des Opfers an den eigenen Account zu binden, indem er zuvor eine E-Mail-Adresse eines Opfers über `/sign-up/email` registriert hat. Dasselbe Problem betrifft auch One-Tap-Anmeldungen; die Einstellung `emailAndPassword.requireEmailVerification: true` mildert diese Änderung der Verifizierung zum Zeitpunkt der Verknüpfung nicht ab. Dieses Problem wurde in Version 1.6.11 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379338

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!