CVE-2026-45337 in Better Auth信息

摘要

由 VulDB • 2026-07-15

Better Auth 是一个用于 TypeScript 的身份验证和授权库。在版本 1.6.0 至 1.6.11 之间,deviceAuthorization 插件将任何已认证会话视为待处理设备代码的所有者,因为 GET /device 不会锁定该行记录,且当 userId 未设置时,POST /device/approve 和 POST /device/deny 会提前返回(short-circuit),这使得能够获知有效 user_code 的攻击者可以将轮询设备绑定到其账户或阻止合法流程。此问题已在版本 1.6.11 中修复。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Interested in the pricing of exploits?

See the underground prices here!