CVE-2026-53514 in Better Auth
Riassunto
di VulDB • 15/07/2026
Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.6.11, nonché nelle versioni 1.6.14 e successive quando gli ID invito possono essere ottenuti al di fuori della casella email dell'utente invitato e l'impostazione requireEmailVerificationOnInvitation: true non è abilitata, gli endpoint recipient del plugin organization (acceptInvitation, rejectInvitation, getInvitation e listUserInvitations) utilizzano session.user.email e un ID invito senza una prova sufficiente di proprietà verificata dell'indirizzo email. Ciò consente a un utente con una sessione non verificata per l'indirizzo email invitato di accettare un invito all'organizzazione dopo aver ottenuto l'ID invito. Questo problema è stato risolto nel comportamento predefinito originale nella versione 1.6.11, mentre la versione 1.6.14 ha ripristinato la compatibilità con gli ID invito opachi integrati e lascia le configurazioni interessate che richiedono opzioni di sicurezza.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.