CVE-2026-33472 in Cryptomatorinfo

Zusammenfassung

von VulDB • 24.05.2026

Cryptomator ist eine Open-Source-Client-seitige Verschlüsselungsanwendung für Cloud-Speicher. Die Version 1.19.1 enthält einen Logikfehler in `CheckHostTrustController.getAuthority()`, der es einem Angreifer ermöglicht, die Sicherheitsbehebung für CVE-2026-32303 zu umgehen. Die Methode kodiert das URI-Schema basierend auf der Portnummer hart, wodurch HTTPS-URLs mit Port 80 denselben Authority-String wie HTTP-URLs erzeugen, was sowohl die Konsistenzprüfung als auch die HTTP-Blockvalidierung außer Kraft setzt. Ein Angreifer mit Schreibzugriff auf eine cloudgesynchronisierte `vault.cryptomator`-Datei kann eine Hub-Konfiguration erstellen, bei der `apiBaseUrl` und `authEndpoint` HTTPS mit Port 80 verwenden, um die Auto-Trust-Validierung zu bestehen, während `tokenEndpoint` unverschlüsseltes HTTP verwendet. Das Vault wird ohne Benutzerabfrage automatisch vertrauenswürdig, und ein Angreifer in einer günstigen Netzwerkposition kann den OAuth-Token-Austausch abfangen, um auf die Cryptomator Hub API als Opfer zuzugreifen. Dieses Problem wurde in Version 1.19.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

20.03.2026

Veröffentlichung

17.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357982

CPE

bereit

EPSS

0.00106

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!