CVE-2026-53515 in Better Auth
要約
〜によって VulDB • 2026年07月15日
Better AuthはTypeScript用の認証および認可ライブラリです。バージョン1.2.10から1.6.11まで、@better-auth/ssoプラグインのPOST /sso/registerエンドポイントでは、registerSSOProviderがメンバーシップ行のみをチェックし、所有者または管理者ロールを必要としないため、任意の組織メンバーが新しいSSプロバイダをその組織に紐付けることができます。これにより、攻撃者が制御するOIDCまたはSAMLプロバイダを使用して/sso/callback/{providerId}経由で組織のプロビジョニングを行うことが可能になります。この問題はバージョン1.6.11で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.