CVE-2026-33472 in CryptomatorИнформация

Сводка

по VulDB • 24.05.2026

Cryptomator — это приложение для шифрования на стороне клиента с открытым исходным кодом для облачных хранилищ. Версия 1.19.1 содержит ошибку логики в методе CheckHostTrustController.getAuthority(), которая позволяет злоумышленнику обойти исправление безопасности для CVE-2026-32303. Метод жестко задает схему URI на основе номера порта, из-за чего HTTPS-URL с портом 80 формируют ту же строку authority, что и HTTP-URL, что нарушает как проверку согласованности, так и валидацию блокировки HTTP. Злоумышленник с правами записи в файл vault.cryptomator, синхронизированный через облако, может создать конфигурацию Hub, где apiBaseUrl и authEndpoint используют HTTPS с портом 80 для прохождения автоматической проверки доверия, а tokenEndpoint использует незашифрованный HTTP. Хранилище автоматически получает доверие без запроса к пользователю, и злоумышленник, находящийся в сети, может перехватить обмен OAuth-токенами для доступа к API Cryptomator Hub от имени жертвы. Эта проблема исправлена в версии 1.19.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

17.04.2026

Модерация

принято

Вход

VDB-357982

EPSS

0.00106

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!