CVE-2026-33472 in Cryptomatorinformação

Sumário

de VulDB • 24/05/2026

Cryptomator é um aplicativo de criptografia do lado do cliente de código aberto para armazenamento em nuvem. A versão 1.19.1 contém uma falha de lógica em CheckHostTrustController.getAuthority() que permite a um atacante contornar a correção de segurança para CVE-2026-32303. O método codifica fixamente o esquema URI com base no número da porta, fazendo com que URLs HTTPS com a porta 80 produzam a mesma string de autoridade que URLs HTTP, o que invalida tanto a verificação de consistência quanto a validação de bloqueio HTTP. Um atacante com acesso de gravação a um arquivo vault.cryptomator sincronizado na nuvem pode criar uma configuração do Hub onde apiBaseUrl e authEndpoint usam HTTPS com a porta 80 para passar na validação de confiança automática, enquanto tokenEndpoint usa HTTP em texto puro. O cofre é automaticamente confiável sem solicitação ao usuário, e um atacante posicionado na rede pode interceptar a troca de tokens OAuth para acessar a API do Cryptomator Hub como a vítima. Este problema foi corrigido na versão 1.19.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

17/04/2026

Moderação

aceite

Entrada

VDB-357982

CPE

pronto

EPSS

0.00106

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!