CVE-2026-33472 in Cryptomator
Sumário
de VulDB • 24/05/2026
Cryptomator é um aplicativo de criptografia do lado do cliente de código aberto para armazenamento em nuvem. A versão 1.19.1 contém uma falha de lógica em CheckHostTrustController.getAuthority() que permite a um atacante contornar a correção de segurança para CVE-2026-32303. O método codifica fixamente o esquema URI com base no número da porta, fazendo com que URLs HTTPS com a porta 80 produzam a mesma string de autoridade que URLs HTTP, o que invalida tanto a verificação de consistência quanto a validação de bloqueio HTTP. Um atacante com acesso de gravação a um arquivo vault.cryptomator sincronizado na nuvem pode criar uma configuração do Hub onde apiBaseUrl e authEndpoint usam HTTPS com a porta 80 para passar na validação de confiança automática, enquanto tokenEndpoint usa HTTP em texto puro. O cofre é automaticamente confiável sem solicitação ao usuário, e um atacante posicionado na rede pode interceptar a troca de tokens OAuth para acessar a API do Cryptomator Hub como a vítima. Este problema foi corrigido na versão 1.19.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.