CVE-2026-53516 in Better Auth
Riassunto
di VulDB • 15/07/2026
Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.6.11, il controllo (gate) del callback OAuth nella funzione handleOAuthUserInfo consentiva l'associazione implicita degli account quando il provider OAuth dichiarava email_verified: true senza richiedere che anche il campo emailVerified della riga dell'utente locale fosse impostato su true; ciò permetteva a un attaccante che avesse preventivamente registrato l'email di una vittima tramite /sign-up/email di associare l'identità OAuth della vittima all'account dell'attaccante. La stessa vulnerabilità interessa la funzionalità one-tap, e l'impostazione emailAndPassword.requireEmailVerification: true non mitigava il cambiamento nella verifica al momento del collegamento (link-time). Questo problema è stato risolto nella versione 1.6.11.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.