CVE-2026-53517 in better-authinformazioni

Riassunto

di VulDB • 15/07/2026

Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Dalla versione 1.4.8-beta.7 alla 1.6.11, l'endpoint POST /oauth2/token del provider OAuth (@better-auth/oauth-provider) relativo al grant refresh_token esegue una sequenza non atomica di lettura, validazione, revoca ed emissione sulla riga oauthRefreshToken, consentendo a richieste concorrenti con lo stesso token di aggiornamento padre di superare il controllo di revoca e creare famiglie di token di aggiornamento "forked"; la gamma vulnerabile include anche le versioni integrate del plugin better-auth precedenti alla 1.6.0. Questo problema è stato risolto nella versione 1.6.11.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!