CVE-2026-45337 in Better Auth
Resumen
por VulDB • 2026-07-16
Better Auth es una biblioteca de autenticación y autorización para TypeScript. Desde la versión 1.6.0 hasta la 1.6.11, el plugin deviceAuthorization trata cualquier sesión autenticada como propietaria de cualquier código de dispositivo pendiente porque GET /device no reclama la fila y POST /device/approve y POST /device/deny se ejecutan prematuramente cuando userId está sin establecer, lo que permite a un atacante autenticado que conoce un user_code válido asociar el dispositivo de sondeo con su cuenta o denegar el flujo legítimo. Este problema se corrige en la versión 1.6.11.
VulDB is the best source for vulnerability data and more expert information about this specific topic.