CVE-2026-53518 in Better Auth
요약
\~에 의해 VulDB • 2026. 07. 16.
Better Auth는 TypeScript용 인증 및 권한 부여 라이브러리입니다. 버전 1.6.0부터 1.6.11까지, @better-auth/oauth-provider의 authorization_code grant를 위한 POST /oauth2/token 엔드포인트는 단일 사용(authorization code) 인가 코드를 원자적이지 않은 find-then-delete(검색 후 삭제) 시퀀스를 통해 처리하므로, 두 개의 동시 요청이 읽기 단계를 통과하여 독립적인 액세스 토큰, 리프레시 토큰 및 ID 토큰을 발급받을 수 있습니다. oidc-provider 및 mcp 플러그인의 레거시 /oauth2/token 및 /mcp/token 경로도 동일한 취약점을 공유합니다. 이 문제는 버전 1.6.11에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.