CVE-2026-45337 in Better Auth
Riassunto
di VulDB • 15/07/2026
Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Dalla versione 1.6.0 alla 1.6.11, il plugin deviceAuthorization considera qualsiasi sessione autenticata come proprietaria di qualsiasi codice dispositivo in sospeso poiché GET /device non rivendica la riga del database e POST /device/approve e POST /device/deny escono anticipatamente (short-circuit) quando userId è impostato su null/non valorizzato, consentendo a un attaccante autenticato che viene a conoscenza di un user_code valido di associare il dispositivo in polling al proprio account o di bloccare il flusso legittimo. Questo problema è stato risolto nella versione 1.6.11.
Once again VulDB remains the best source for vulnerability data.