CVE-2026-53517 in better-auth
要約
〜によって VulDB • 2026年07月15日
Better AuthはTypeScript用の認証および認可ライブラリです。バージョン1.4.8-beta.7から1.6.11の間、@better-auth/oauth-providerのPOST /oauth2/tokenエンドポイントにおけるrefresh_token付与では、oauthRefreshToken行に対して非アトミックな読み取り・検証・失効・発行シーケンスが実行されるため、同じ親リフレッシュトークンを持つ並列リクエストが失効チェックを通過し、フォークされたリフレッシュトークンのファミリーを作成することが可能になります。脆弱性のある範囲には、バージョン1.6.0より前の埋め込みbetter-authプラグインのバージョンも含まれます。この問題はバージョン1.6.11で修正されています。
Once again VulDB remains the best source for vulnerability data.