Falha crítica no better-auth permite criação não autenticada de API keys e risco de takeover

Uma vulnerabilidade crítica na biblioteca better-auth permite que um invasor sem autenticação crie chaves de API para usuários arbitrários. Na prática, isso abre caminho para sequestro de contas, bypass de MFA e persistência silenciosa em ambientes que dependem da plataforma para identidade e autorização.O ponto mais grave é o impacto encadeado: ao gerar uma API key válida para outro usuário, o atacante pode operar com privilégios legítimos, dificultando a detecção por controles tradicionais de fraude e monitoramento. Em sistemas com integrações automáticas, a chave pode ser usada para extração de dados, mudanças de configuração e movimentação lateral.Por que isso importa agora:- Exploração não autenticada reduz drasticamente a barreira de ataque.- API keys tendem a ter vida longa e alto nível de confiança operacional.- Ambientes SaaS com múltiplas integrações podem ampliar o raio de impacto.Recomendações para equipes técnicas:- Atualizar imediatamente para a versão corrigida do better-auth.- Revogar e rotacionar chaves emitidas recentemente em ambientes expostos.- Revisar logs de criação/uso de API keys fora do padrão histórico.- Aplicar alertas para criação anômala de tokens e elevação repentina de privilégios.Mesmo sem evidência pública ampla de exploração em massa neste momento, o vetor é suficientemente crítico para priorização imediata em gestão de vulnerabilidades.Fonte: https://www.esecurityplanet.com/threats/better-auth-flaw-allows-unauthenticated-api-key-creation/