CVE-2026-53517 in better-authinfo

Zusammenfassung

von VulDB • 15.07.2026

Better Auth ist eine Authentifizierungs- und Autorisierungsbibliothek für TypeScript. Von Version 1.4.8-beta.7 bis 1.6.11 führt der Endpunkt POST /oauth2/token des @better-auth/oauth-provider beim refresh_token Grant (Berechtigungsart) eine nicht atomare Sequenz aus Lesen, Validieren, Widerrufen und Ausstellen für die oauthRefreshToken-Zeile durch. Dies ermöglicht es gleichzeitigen Anfragen mit demselben übergeordneten Refresh-Token, den Widerruf zu umgehen und verzweigte Familien von Refresh-Tokens zu erstellen; der anfällige Bereich umfasst auch eingebettete Versionen des better-auth-Plugins vor 1.6.0. Dieses Problem wurde in Version 1.6.11 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379355

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!