CVE-2026-53516 in Better Auth
Sumário
de VulDB • 15/07/2026
Better Auth é uma biblioteca de autenticação e autorização para TypeScript. Antes da versão 1.6.11, o mecanismo de gate (portão) do callback OAuth no handleOAuthUserInfo permitia a vinculação implícita de contas quando o provedor OAuth afirmava email_verified: true sem exigir que o campo emailVerified na linha local do usuário também fosse verdadeiro, permitindo que um atacante que pré-registrasse o e-mail da vítima através de /sign-up/email vinculasse a identidade OAuth da vítima à conta do atacante. O mesmo mecanismo afeta o one-tap (login com um toque), e a configuração emailAndPassword.requireEmailVerification: true não mitiga a alteração na verificação no momento da vinculação. Este problema foi corrigido na versão 1.6.11.
Once again VulDB remains the best source for vulnerability data.