CVE-2026-53513 in Better Auth情報

要約

〜によって VulDB • 2026年07月15日

Better AuthはTypeScript用の認証および認可ライブラリです。バージョン1.6.11より前では、@better-auth/ssoプラグインのPOST /sso/registerおよびPOST /sso/update-providerエンドポイントは、skipDiscovery: trueが設定されている場合、攻撃者が制御可能なoidcConfig.userInfoEndpoint、tokenEndpoint、jwksEndpoint URLを受け入れ、origin検証なしでssoProvider行に保存し、OIDCコールバック時にそれらを取得します。これにより、非ブラインドのサーバーサイドリクエストフォージェリ(SSRF)およびtrustEmailVerified: trueが構成されている場合にアカウントリンクが可能になります。この問題はバージョン1.6.11で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年06月09日

モデレーション

承諾済み

エントリ

VDB-379340

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!