PT-2026-56297 · Unknown · Better Auth
Publicado
2026-07-07
·
Atualizado
2026-07-08
·
CVE-2026-53512
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
better-auth versões anteriores a 1.6.11
Descrição
Os plugins legados
oidcProvider e mcp expõem um endpoint de token OAuth 2.0 que falha ao autenticar clientes confidenciais durante a concessão de refresh token. O sistema autentica as solicitações baseando-se apenas na posse de um refreshToken vinculado e um client id correspondente, omitindo a verificação do client secret do cliente confidencial registrado. Isso permite que um invasor que obtenha um refresh token válido e o client id público gere indefinidamente novos tokens de acesso e tokens de atualização rotacionados, mantendo acesso não autorizado aos recursos dentro do escopo autorizado do usuário.Além disso, o plugin
mcp apresenta dois problemas relacionados: a concessão authorization code utiliza igualdade simples para a comparação do client-secret, ignorando configurações de criptografia ou hashing, e o endpoint /mcp/token implementa uma política de CORS excessivamente permissiva ao definir Access-Control-Allow-Origin: *, o que aumenta o risco de exploração em contextos de navegador.Recomendações
Atualize para a versão 1.6.11 ou posterior do better-auth.
Migre do
oidcProvider() depreciado para o @better-auth/oauth-provider para garantir que a autenticação do cliente seja aplicada em todas as concessões.
Como solução temporária, force todos os clientes a serem públicos definindo type: "public" e exigindo PKCE.
Restrinja o ingresso na camada de rede para os endpoints /api/auth/oauth2/token e /api/auth/mcp/token para endereços IP de clientes conhecidos.
Para o endpoint mcp, substitua o cabeçalho CORS curinga por uma lista de permissões rigorosa em um proxy upstream.
Em caso de suspeita de vazamento, invalide todos os tokens de atualização do cliente afetado excluindo as entradas correspondentes na tabela oauthAccessToken.Correção
Insufficient Verification of Data Authenticity
Improper Authentication
Missing Authentication
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Better Auth