Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Thinbus Javascript Secure Remote Password (CVE-2025-54885)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-331 Entropía insuficiente
Fecha de publicación:
07/08/2025
Última modificación:
07/08/2025

Descripción

Thinbus Javascript Secure Remote Password es una implementación de SRP6a para navegadores que permite la autenticación de contraseñas de conocimiento cero. En las versiones 2.0.0 y anteriores, un error de cumplimiento del protocolo provoca que el cliente genere una entropía fija de 252 bits en lugar de la longitud de bits prevista para el primo seguro (predeterminada en 2048 bits). El valor público del cliente se genera a partir de un valor privado 4 bits por debajo de la especificación. Esto reduce el margen de seguridad diseñado para el protocolo y ahora es prácticamente explotable. El número aleatorio completo de 2048 bits del servidor se utiliza para crear la clave de sesión compartida y la prueba de contraseña. Esto se solucionó en la versión 2.0.1.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información