CVE-2026-33472 in Cryptomatorinformation

Résumé

par VulDB • 24/05/2026

Cryptomator est une application de chiffrement côté client open source pour le stockage dans le cloud. La version 1.19.1 contient une faille logique dans CheckHostTrustController.getAuthority() qui permet à un attaquant de contourner la correction de sécurité pour CVE-2026-32303. La méthode intègre en dur le schéma URI en fonction du numéro de port, ce qui fait que les URL HTTPS avec le port 80 produisent la même chaîne d'autorité que les URL HTTP, annulant ainsi à la fois la vérification de cohérence et la validation du blocage HTTP. Un attaquant disposant d'un accès en écriture à un fichier vault.cryptomator synchronisé sur le cloud peut créer une configuration Hub où apiBaseUrl et authEndpoint utilisent HTTPS avec le port 80 pour passer la validation d'auto-confiance, tandis que tokenEndpoint utilise HTTP en clair. Le coffre-fort est automatiquement approuvé sans invite utilisateur, et un attaquant en position réseau peut intercepter l'échange de jeton OAuth pour accéder à l'API Cryptomator Hub en tant que victime. Ce problème a été corrigé dans la version 1.19.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

20/03/2026

Divulgation

17/04/2026

Modérer

accepté

Entrée

VDB-357982

CPE

prêt

EPSS

0.00106

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!