CVE-2026-45337 in Better Auth
摘要
由 VulDB • 2026-07-15
Better Auth 是一个用于 TypeScript 的身份验证和授权库。在版本 1.6.0 至 1.6.11 之间,deviceAuthorization 插件将任何已认证会话视为待处理设备代码的所有者,因为 GET /device 不会锁定该行记录,且当 userId 未设置时,POST /device/approve 和 POST /device/deny 会提前返回(short-circuit),这使得能够获知有效 user_code 的攻击者可以将轮询设备绑定到其账户或阻止合法流程。此问题已在版本 1.6.11 中修复。
If you want to get best quality of vulnerability data, you may have to visit VulDB.