Sicherheitslücke in better-auth entdeckt und geschlossen

Surnet entdeckt schwerwiegende Authorization-Bypass-Schwachstelle (CVE-2026-41427)

Daniel Müller

Daniel Müller

29. April 2026 · 6 min

Aktuelles Sicherheit

Im Rahmen unserer kontinuierlichen Sicherheitsüberprüfungen haben wir eine Schwachstelle mit hohem Schweregrad in der weit verbreiteten Authentifizierungs-Bibliothek better-auth entdeckt. Die Lücke wurde offiziell als CVE-2026-41427 und GHSA-xr8f-h2gw-9xh6 registriert und betrifft das OAuth-Provider-Plugin der Bibliothek.

Was ist better-auth?

better-auth ist eine moderne Authentifizierungs-Bibliothek für TypeScript- und JavaScript-Anwendungen, die Entwicklern hilft, sichere Login-Systeme zu implementieren. Mit mehr als 2 Millionen Downloads pro Woche und Einsatz in zahlreichen produktiven Anwendungen hat die Bibliothek eine bedeutende Verbreitung erreicht.

Die entdeckte Schwachstelle

Bei der Implementierung eines OAuth-Providers für ein aktuelles Projekt haben wir die Dokumentation von better-auth sorgfältig studiert und entsprechende Tests durchgeführt. Dabei fiel uns auf, dass die clientPrivileges-Funktion – die steuern soll, welche Benutzer OAuth-Clients erstellen dürfen – bei allen anderen Operationen (Lesen, Aktualisieren, Löschen) korrekt aufgerufen wurde, bei der Client-Erstellung die Überprüfung jedoch vollständig fehlte. Die systematische Code-Analyse bestätigte, dass beide Endpunkte (adminCreateOAuthClient und createOAuthClient) die Berechtigungsprüfung übersprangen.

Was bedeutet das in der Praxis?

Stellen Sie sich vor, Sie betreiben eine Plattform, auf der nur bestimmte, verifizierte Partner OAuth-Anwendungen registrieren dürfen – ähnlich wie bei GitHub oder Google. Obwohl Entwickler explizit konfigurieren konnten, dass nur bestimmte Benutzer (z.B. Administratoren) OAuth-Clients erstellen dürfen, wurden diese Berechtigungsprüfungen nicht durchgeführt. Das bedeutet:

  • Jeder authentifizierte Benutzer konnte OAuth-Clients erstellen, unabhängig von der konfigurierten Berechtigung
  • Angreifer konnten eigene Redirect-URLs registrieren, was Phishing-Angriffe erleichtert
  • In bestimmten Konfigurationen war es möglich, Clients mit automatischer Zustimmung zu erstellen, wodurch die Consent-Seite umgangen wurde

Responsible Disclosure und Fix

Als verantwortungsbewusstes Unternehmen folgen wir stets dem Prinzip des Responsible Disclosure:

  1. Identifikation: Wir haben die Schwachstelle systematisch analysiert und einen Proof-of-Concept erstellt, der das Problem reproduzierbar macht
  2. Vertrauliche Meldung: Die Lücke wurde über GitHubs Security Advisory System direkt an das better-auth-Team gemeldet
  3. Fix-Entwicklung: Parallel zur Meldung entwickelten wir einen vollständigen Patch, der die fehlende Berechtigungsprüfung in beiden Endpunkten ergänzt, eine zentrale assertClientPrivileges-Funktion einführt und mit über 350 Zeilen Test-Code abgesichert ist
  4. Zusammenarbeit: Das better-auth-Team hat unseren Fix geprüft, gemeinsam optimiert und in die Code-Basis integriert
  5. Veröffentlichung: Der Patch wurde gemerged und als Version 1.6.5 veröffentlicht
  6. Öffentliche Bekanntgabe: Dieser Blogpost erfolgt erst nach Veröffentlichung des Fixes und der CVE-Zuweisung, sodass alle Nutzer ausreichend Zeit hatten, ihre Systeme zu aktualisieren

Was bedeutet das für Sie?

Als Nutzer von better-auth:

  • Prüfen Sie, ob Sie das OAuth-Provider-Plugin mit clientPrivileges verwenden
  • Aktualisieren Sie unverzüglich auf Version 1.6.5 oder neuer
  • Überprüfen Sie Ihre bestehenden OAuth-Clients auf verdächtige Einträge

Als Entwickler generell:

Diese Entdeckung zeigt, wie wichtig es ist:

  • Security Reviews in den Entwicklungsprozess zu integrieren
  • Automatisierte Tests für Berechtigungsprüfungen zu implementieren
  • Drittanbieter-Bibliotheken regelmässig zu auditieren
  • Bei Sicherheitsfragen Experten einzubeziehen

Fazit

Diese Schwachstelle zeigt exemplarisch, wie proaktive Sicherheitsüberprüfungen und verantwortungsvolle Offenlegung zusammenwirken: Wir haben nicht nur das Problem identifiziert, sondern direkt eine produktionsreife Lösung inklusive umfassender Tests entwickelt und der Community zur Verfügung gestellt. Durch die konstruktive Zusammenarbeit mit dem better-auth-Team konnte die Lücke geschlossen werden, bevor sie von böswilligen Akteuren ausgenutzt wurde.

Haben Sie Fragen zur sicheren Entwicklung Ihrer Anwendungen? Kontaktieren Sie uns – wir entwickeln Software mit Sicherheit als Priorität.


Referenzen: