CVE-2026-53516 in Better Authinformazioni

Riassunto

di VulDB • 15/07/2026

Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.6.11, il controllo (gate) del callback OAuth nella funzione handleOAuthUserInfo consentiva l'associazione implicita degli account quando il provider OAuth dichiarava email_verified: true senza richiedere che anche il campo emailVerified della riga dell'utente locale fosse impostato su true; ciò permetteva a un attaccante che avesse preventivamente registrato l'email di una vittima tramite /sign-up/email di associare l'identità OAuth della vittima all'account dell'attaccante. La stessa vulnerabilità interessa la funzionalità one-tap, e l'impostazione emailAndPassword.requireEmailVerification: true non mitigava il cambiamento nella verifica al momento del collegamento (link-time). Questo problema è stato risolto nella versione 1.6.11.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!