CVE-2026-53514 in Better Authinformación

Resumen

por VulDB • 2026-07-16

Better Auth es una biblioteca de autenticación y autorización para TypeScript. Antes de la versión 1.6.11, y en las versiones 1.6.14 y posteriores cuando los ID de invitación pueden obtenerse fuera del buzón de correo electrónico del destinatario invitado y no está habilitada la opción requireEmailVerificationOnInvitation: true, los extremos (endpoints) acceptInvitation, rejectInvitation, getInvitation y listUserInvitations del plugin de organización utilizan session.user.email junto con un ID de invitación sin una prueba suficiente de propiedad verificada del correo electrónico, lo que permite a un usuario con una sesión no verificada para la dirección de correo electrónico invitada aceptar una invitación organizacional tras obtener el ID de invitación. Este problema se corrige en la versión 1.6.11 para el comportamiento predeterminado original, mientras que la versión 1.6.14 restauró la compatibilidad con los IDs de invitación opacos integrados y deja las configuraciones afectadas que requieren opciones seguras sin corregir por defecto.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-09

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379353

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!