Better Auth 通过过早的会话缓存 (session.cookieCache) 存在双因素身份验证绕过

### 摘要 在某些配置下，会话可能在双因素身份验证 (2FA) 完全完成之前被认为是有效的。这可能允许在未验证第二个因素的情况下访问已验证的路由。 --- ### 描述 启用双因素身份验证后，身份验证流程会正确识别需要额外验证的用户，并将完全身份验证推迟到第二个因素完成后。 但是，当启用 `session.cookieCache` 时，在 **2FA 验证之前**，初始登录步骤中生成的会话可能会被缓存为有效。随后的会话查找可能会返回此缓存的会话，而无需重新评估 2FA 要求。 这导致在满足所有身份验证约束之前可以建立会话有效性的情况。 --- ### 影响 具有有效主要凭据的攻击者（或用户）可能在未完成所需的第二个身份验证因素的情况下访问受保护的应用程序路由。 任何使用 `better-auth` 且同时启用了双因素身份验证和会话 Cookie 缓存的应用程序都可能受到影响。 --- ### 缓解 * 升级到 `better-auth` 的版本，该版本