बेहतर ऑथ (Better Auth) में समय से पहले सत्र कैशिंग (session.cookieCache) के माध्यम से दो-कारक प्रमाणीकरण बाईपास (Two-Factor Authentication Bypass)

### सारांश कुछ कॉन्फ़िगरेशन के तहत, सत्रों को दो-कारक प्रमाणीकरण (2FA) पूरी तरह से पूरा होने से पहले ही मान्य माना जा सकता है। यह दूसरे कारक को सत्यापित किए बिना प्रमाणित मार्गों तक पहुंच की अनुमति दे सकता है। --- ### विवरण जब दो-कारक प्रमाणीकरण सक्षम होता है, तो प्रमाणीकरण प्रवाह उन उपयोगकर्ताओं की सही पहचान करता है जिन्हें अतिरिक्त सत्यापन की आवश्यकता होती है और दूसरा कारक पूरा होने तक पूर्ण प्रमाणीकरण को स्थगित कर देता है। हालांकि, जब `session.cookieCache` सक्षम होता है, तो प्रारंभिक साइन-इन चरण के दौरान उत्पन्न सत्र को **2FA सत्यापन से पहले** मान्य के रूप में कैश किया जा सकता है। बाद के सत्र लुकअप तब 2FA आवश्यकता का पुनर्मूल्यांकन किए बिना इस कैश किए गए सत्र को वापस कर सकते हैं। इसके परिणामस्वरूप ऐसी स्थिति उत्पन्न होती है जहां सभी प्रमाणीकरण बाधाओं के संतुष्ट होने से पहले सत्र की वैधता स्थापित की जा सकती है। --- ### प्रभाव मान्य प्राथमिक क्रेडेंशियल्स वाला एक हमलावर (या उपयोगकर्ता) आवश्यक दूसरे प्रमाणीकरण कारक को पूरा किए बिना संरक्षित एप्लिकेशन मार्गों तक पहुंच प्राप्त कर सकता है। दो-कारक प्रमाणीकरण और सत्र कुकी कैशिंग दोनों के साथ `better-auth` का उपयोग करने वाला कोई भी एप्लिकेशन प्रभावित हो सकता है। --- ### निवारण * `better-auth` के उस संस्करण में अपग्रेड करें जो