CVE-2025-69287

The BSV Blockchain SDK is a unified TypeScript SDK for developing scalable apps on the BSV Blockchain. Prior to version 2.0.0, a cryptographic vulnerability in the TypeScript SDK's BRC-104 authentication implementation caused incorrect signature data preparation, resulting in signature incompatibility between SDK implementations and potential authentication bypass scenarios. The vulnerability was located in the `Peer.ts` file of the TypeScript SDK, specifically in the `processInitialRequest` and `processInitialResponse` methods where signature data is prepared for BRC-104 mutual authentication. The TypeScript SDK incorrectly prepared signature data by concatenating base64-encoded nonce strings (`message.initialNonce + sessionNonce`) then decoding the concatenated base64 string (`base64ToBytes(concatenatedString)`). This produced ~32-34 bytes of signature data instead of the correct 64 bytes. BRC-104 authentication relies on cryptographic signatures to establish mutual trust between peers. When signature data preparation is incorrect, signatures generated by the TypeScript SDK don't match those expected by Go/Python SDKs; cross-implementation authentication fails; and an attacker could potentially exploit this to bypass authentication checks. The fix in version 2.0.0 ensures all SDKs now produce identical cryptographic signatures, restoring proper mutual authentication across implementations.

CVSS v3 5.4 MEDIUM

5.4^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://github.com/bsv-blockchain/ts-sdk/commit/d8cf6930028372079d977138ae9eaa03ae2f50bb
https://github.com/bsv-blockchain/ts-sdk/security/advisories/GHSA-vjpq-xx5g-qvmm

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) El SDK de BSV Blockchain es un SDK unificado de TypeScript para desarrollar aplicaciones escalables en la BSV Blockchain. Antes de la versión 2.0.0, una vulnerabilidad criptográfica en la implementación de autenticación BRC-104 del SDK de TypeScript causó una preparación incorrecta de los datos de la firma, lo que resultó en incompatibilidad de firmas entre implementaciones de SDK y posibles escenarios de omisión de autenticación. La vulnerabilidad se encontraba en el archivo 'Peer.ts' del SDK de TypeScript, específicamente en los métodos 'processInitialRequest' y 'processInitialResponse' donde se preparan los datos de la firma para la autenticación mutua BRC-104. El SDK de TypeScript preparó incorrectamente los datos de la firma al concatenar cadenas nonce codificadas en base64 ('message.initialNonce + sessionNonce') y luego decodificar la cadena base64 concatenada ('base64ToBytes(concatenatedString)'). Esto produjo ~32-34 bytes de datos de firma en lugar de los 64 bytes correctos. La autenticación BRC-104 se basa en firmas criptográficas para establecer confianza mutua entre pares. Cuando la preparación de los datos de la firma es incorrecta, las firmas generadas por el SDK de TypeScript no coinciden con las esperadas por los SDK de Go/Python; la autenticación entre implementaciones falla; y un atacante podría potencialmente explotar esto para omitir las comprobaciones de autenticación. La corrección en la versión 2.0.0 asegura que todos los SDK ahora produzcan firmas criptográficas idénticas, restaurando la autenticación mutua adecuada entre implementaciones.

18 Feb 2026, 19:21

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-18 19:21

Updated : 2026-04-15 00:35

NVD link : CVE-2025-69287

Mitre link : CVE-2025-69287

CVE.ORG link : CVE-2025-69287

JSON object : View

Products Affected

No product.

CWE

CWE-573

Improper Following of Specification by Caller

5.4 /10