Informazioni sul CVE-2025-27143

Beter Auth has an Open Redirect via Scheme-Less Callback Parameter

CWE ID: CWE-601

Base Score (CVSS): 6.9

CVE: CVE-2025-27143

Descrizione: Better Auth è una libreria di autenticazione e autorizzazione per TypeScript. Prima della versione 1.1.21, l’applicazione è vulnerabile a un redirect aperto a causa di una mancata validazione corretta del parametro di callbackURL nell’endpoint di verifica via email e qualsiasi altro endpoint che accetta URL di callback. Sebbene il server blocchi URL completamente qualificati, permette URL privi di scheme, il che porta il browser a interpretare l’URL come URL completamente qualificata, portando a una redirezione inaspettata. Un attaccante può sfruttare questo difetto creando un link di verifica malevolo e tracciando gli utenti a cliccare su di esso. Dopo una verifica email riuscita, l’utente sarà automaticamente reindirizzato al sito web dell’attaccante, che può essere utilizzato per phishing, distribuzione di malware o furto di token di autenticazione sensibili. Questo CVE è un aggiramento della soluzione per la correzione per GHSA-8jhw-6pjj-8723/CVE-2024-56734. La versione 1.1.21 contiene una patch aggiornata.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica Valore Significato Descrizione

Riferimenti esterni

Prodotti interessati

  • better-auth – better-auth

Relazioni con altri prodotti

Produttore:better-auth
Prodotto: better-auth
Anno: 2025
CWE: CWE-601
CVSS: 6.9