cryptomator hasta 1.19.0 Masterkeyfile Loader keyId.getSchemeSpecificPart recorrido de directorios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 4.5 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en cryptomator hasta 1.19.0 y clasificada como crítica. Se ve afectada una función desconocida del componente Masterkeyfile Loader. La manipulación conduce a recorrido de directorios. Esta vulnerabilidad está identificada como CVE-2026-32310. El ataque puede ser realizado a través de la red. No existe ningún exploit disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en cryptomator hasta 1.19.0. La función keyId.getSchemeSpecificPart del componente Masterkeyfile Loader es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase recorrido de directorios. Esto tiene repercusión sobre la la confidencialidad. CVE resume:
Cryptomator cifra datos almacenados en infraestructura en la nube. Desde la versión 1.6.0 hasta antes de la versión 1.19.1, la configuración de la bóveda se analiza antes de que se verifique su integridad, y el cargador de masterkeyfile utiliza el keyId no verificado como una ruta del sistema de archivos. El cargador resuelve keyId.getSchemeSpecificPart() directamente contra la ruta de la bóveda e inmediatamente llama a Files.exists(...). Esto permite a una configuración de bóveda maliciosa proporcionar escapes de directorio padre, rutas locales absolutas o rutas UNC (p. ej., masterkeyfile://atacante/share/masterkey.cryptomator). En Windows, la variante UNC es especialmente peligrosa porque Path.resolve("//atacante/share/...") se convierte en \\atacante\share\..., por lo que la verificación de existencia puede activar el acceso SMB saliente antes de que el usuario siquiera introduzca una frase de contraseña. Este problema ha sido parcheado en la versión 1.19.1.La vulnerabilidad fue publicada el por The Master con identificación GHSA-5phc-5pfx-hr52 (confirmado). El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-32310. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Una actualización a la versión 1.6.0 o 1.19.1 elimina esta vulnerabilidad. La actualización se puede descargar de github.com. Aplicando el parche 1e3dfe3de1623b1b85d24db91e49d31d1ea11f40 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Producto
Nombre
Versión
Licencia
Sitio web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 4.6VulDB Puntuación meta temporal: 4.5
VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 5.3
NVD Vector: 🔒
CNA Puntuación base: 4.1
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Recorrido de directoriosCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: cryptomator 1.6.0/1.19.1
Parche: 1e3dfe3de1623b1b85d24db91e49d31d1ea11f40
Línea de tiempo
2026-03-11 CVE asignado2026-03-20 Aviso publicado
2026-03-20 Entrada de VulDB creada
2026-03-26 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-5phc-5pfx-hr52
Investigador: The Master
Estado: Confirmado
CVE: CVE-2026-32310 (🔒)
GCVE (CVE): GCVE-0-2026-32310
GCVE (VulDB): GCVE-100-352136
Artículo
Fecha de creación: 2026-03-20 23:31Actualizado: 2026-03-26 23:31
Cambios: 2026-03-20 23:31 (69), 2026-03-26 23:31 (12)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.