PT-2026-56297 · Unknown · Better Auth

Publicado

2026-07-07

·

Atualizado

2026-07-08

·

CVE-2026-53512

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas better-auth versões anteriores a 1.6.11
Descrição Os plugins legados oidcProvider e mcp expõem um endpoint de token OAuth 2.0 que falha ao autenticar clientes confidenciais durante a concessão de refresh token. O sistema autentica as solicitações baseando-se apenas na posse de um refreshToken vinculado e um client id correspondente, omitindo a verificação do client secret do cliente confidencial registrado. Isso permite que um invasor que obtenha um refresh token válido e o client id público gere indefinidamente novos tokens de acesso e tokens de atualização rotacionados, mantendo acesso não autorizado aos recursos dentro do escopo autorizado do usuário.
Além disso, o plugin mcp apresenta dois problemas relacionados: a concessão authorization code utiliza igualdade simples para a comparação do client-secret, ignorando configurações de criptografia ou hashing, e o endpoint /mcp/token implementa uma política de CORS excessivamente permissiva ao definir Access-Control-Allow-Origin: *, o que aumenta o risco de exploração em contextos de navegador.
Recomendações Atualize para a versão 1.6.11 ou posterior do better-auth. Migre do oidcProvider() depreciado para o @better-auth/oauth-provider para garantir que a autenticação do cliente seja aplicada em todas as concessões. Como solução temporária, force todos os clientes a serem públicos definindo type: "public" e exigindo PKCE. Restrinja o ingresso na camada de rede para os endpoints /api/auth/oauth2/token e /api/auth/mcp/token para endereços IP de clientes conhecidos. Para o endpoint mcp, substitua o cabeçalho CORS curinga por uma lista de permissões rigorosa em um proxy upstream. Em caso de suspeita de vazamento, invalide todos os tokens de atualização do cliente afetado excluindo as entradas correspondentes na tabela oauthAccessToken.

Correção

Insufficient Verification of Data Authenticity

Improper Authentication

Missing Authentication

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-53512
GHSA-PW9M-5JXM-XR6H

Produtos afetados

Better Auth