Categories: AMEAÇAS ATUAIS

Falha crítica no better-auth permite criação não autenticada de API keys e risco de takeover

Uma vulnerabilidade crítica na biblioteca better-auth permite que um invasor sem autenticação crie chaves de API para usuários arbitrários. Na prática, isso abre caminho para sequestro de contas, bypass de MFA e persistência silenciosa em ambientes que dependem da plataforma para identidade e autorização.O ponto mais grave é o impacto encadeado: ao gerar uma API key válida para outro usuário, o atacante pode operar com privilégios legítimos, dificultando a detecção por controles tradicionais de fraude e monitoramento. Em sistemas com integrações automáticas, a chave pode ser usada para extração de dados, mudanças de configuração e movimentação lateral.Por que isso importa agora:- Exploração não autenticada reduz drasticamente a barreira de ataque.- API keys tendem a ter vida longa e alto nível de confiança operacional.- Ambientes SaaS com múltiplas integrações podem ampliar o raio de impacto.Recomendações para equipes técnicas:- Atualizar imediatamente para a versão corrigida do better-auth.- Revogar e rotacionar chaves emitidas recentemente em ambientes expostos.- Revisar logs de criação/uso de API keys fora do padrão histórico.- Aplicar alertas para criação anômala de tokens e elevação repentina de privilégios.Mesmo sem evidência pública ampla de exploração em massa neste momento, o vetor é suficientemente crítico para priorização imediata em gestão de vulnerabilidades.Fonte: https://www.esecurityplanet.com/threats/better-auth-flaw-allows-unauthenticated-api-key-creation/

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

14 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

14 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

14 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

18 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

18 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

18 horas ago