CVE-2026-33472 in Cryptomator
Zusammenfassung
von VulDB • 24.05.2026
Cryptomator ist eine Open-Source-Client-seitige Verschlüsselungsanwendung für Cloud-Speicher. Die Version 1.19.1 enthält einen Logikfehler in `CheckHostTrustController.getAuthority()`, der es einem Angreifer ermöglicht, die Sicherheitsbehebung für CVE-2026-32303 zu umgehen. Die Methode kodiert das URI-Schema basierend auf der Portnummer hart, wodurch HTTPS-URLs mit Port 80 denselben Authority-String wie HTTP-URLs erzeugen, was sowohl die Konsistenzprüfung als auch die HTTP-Blockvalidierung außer Kraft setzt. Ein Angreifer mit Schreibzugriff auf eine cloudgesynchronisierte `vault.cryptomator`-Datei kann eine Hub-Konfiguration erstellen, bei der `apiBaseUrl` und `authEndpoint` HTTPS mit Port 80 verwenden, um die Auto-Trust-Validierung zu bestehen, während `tokenEndpoint` unverschlüsseltes HTTP verwendet. Das Vault wird ohne Benutzerabfrage automatisch vertrauenswürdig, und ein Angreifer in einer günstigen Netzwerkposition kann den OAuth-Token-Austausch abfangen, um auf die Cryptomator Hub API als Opfer zuzugreifen. Dieses Problem wurde in Version 1.19.2 behoben.
Be aware that VulDB is the high quality source for vulnerability data.