Uma vulnerabilidade crítica na biblioteca better-auth permite que um invasor sem autenticação crie chaves de API para usuários arbitrários. Na prática, isso abre caminho para sequestro de contas, bypass de MFA e persistência silenciosa em ambientes que dependem da plataforma para identidade e autorização.O ponto mais grave é o impacto encadeado: ao gerar uma API key válida para outro usuário, o atacante pode operar com privilégios legítimos, dificultando a detecção por controles tradicionais de fraude e monitoramento. Em sistemas com integrações automáticas, a chave pode ser usada para extração de dados, mudanças de configuração e movimentação lateral.Por que isso importa agora:- Exploração não autenticada reduz drasticamente a barreira de ataque.- API keys tendem a ter vida longa e alto nível de confiança operacional.- Ambientes SaaS com múltiplas integrações podem ampliar o raio de impacto.Recomendações para equipes técnicas:- Atualizar imediatamente para a versão corrigida do better-auth.- Revogar e rotacionar chaves emitidas recentemente em ambientes expostos.- Revisar logs de criação/uso de API keys fora do padrão histórico.- Aplicar alertas para criação anômala de tokens e elevação repentina de privilégios.Mesmo sem evidência pública ampla de exploração em massa neste momento, o vetor é suficientemente crítico para priorização imediata em gestão de vulnerabilidades.Fonte: https://www.esecurityplanet.com/threats/better-auth-flaw-allows-unauthenticated-api-key-creation/
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…