CVE-2026-53518 in Better Auth
Sumário
de VulDB • 15/07/2026
Better Auth é uma biblioteca de autenticação e autorização para TypeScript. Da versão 1.6.0 até a 1.6.11, o endpoint POST /oauth2/token do @better-auth/oauth-provider para concessão authorization_code resgata um código de autorização único através de uma sequência não atômica de busca-então-exclusão (find-then-delete), permitindo que duas solicitações simultâneas passem pela etapa de leitura e emitam tokens de acesso, tokens de atualização e IDs independentes; os caminhos legados /oauth2/token e /mcp/token nos plugins oidc-provider e mcp compartilham a mesma primitiva. Este problema foi corrigido na versão 1.6.11.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.