better-auth: Zwei-Faktor-Authentifizierung aushebelbar

Das Cybersicherheits-Unternehmen ZeroPath analysierte eine Sicherheitslücke in der weit verbreiteten Open-Source-Bibliothek better-auth. Dem Bericht zufolge können Angreifende über die Lücke sogar eine Zwei-Faktor-Authentifizierung umgehen. Außerdem sei es möglich, API-Schlüssel für beliebige Nutzer zu erzeugen und damit volle Zugriffsrechte erhalten. Ein PoC (Proof of Concept) ist verfügbar, was die Wahrscheinlichkeit einer Ausnutzung erhöht.

Betroffen sind alle Versionen vor der Version 1.3.26. Ursache war eine fehlende Authentifizierungsprüfung in einem API-Endpunkt. Die Schwachstelle besitzt die Kennung CVE-2025-61928 (EUVD-2025-33660) und hat einen CVSS-Base-Score von 9.3/10.

better-auth dient der Authentifizierung und Erteilung von Berechtigungen für TypeScript-Anwendungen. Die Bibliothek wird über npm wöchentlich etwa 300.000 Mal heruntergeladen.

• Spielen Sie das Update (Version 1.3.26) sofort ein.
• Setzen Sie alle API-Schlüssel zurück und prüfen Sie diese.
• Prüfen Sie die Log-Dateien.