Cryptomator — это клиентское приложение для шифрования с открытым исходным кодом для облачного хранилища. Версия 1.19.1 содержит логическую ошибку в CheckHostTrustController.getAuthority(), которая позволяет злоумышленнику обойти исправление безопасности для CVE-2026-32303. Этот метод жестко кодирует схему URI на основе номера порта, в результате чего URL-адреса HTTPS с портом 80 создают ту же строку полномочий, что и URL-адреса HTTP, что нарушает как проверку согласованности, так и проверку блока HTTP.
Злоумышленник, имеющий доступ на запись в синхронизированный с облаком файл vault.cryptomator, может создать конфигурацию Hub, в которой apiBaseUrl и authEndpoint используют HTTPS с портом 80 для прохождения проверки автоматического доверия, а tokenEndpoint использует открытый текст HTTP. Хранилищу автоматически доверяется без запроса пользователя, и злоумышленник, находящийся в сети, может перехватить обмен токенами OAuth, чтобы получить доступ к API Cryptomator Hub в качестве жертвы. Эта проблема исправлена в версии 1.19.2.
Показать оригинальное описание (EN)
Cryptomator is an open-source client-side encryption application for cloud storage. Version 1.19.1 contains a logic flaw in CheckHostTrustController.getAuthority() that allows an attacker to bypass the security fix for CVE-2026-32303. The method hardcodes the URI scheme based on port number, causing HTTPS URLs with port 80 to produce the same authority string as HTTP URLs, which defeats both the consistency check and the HTTP block validation. An attacker with write access to a cloud-synced vault.cryptomator file can craft a Hub configuration where apiBaseUrl and authEndpoint use HTTPS with port 80 to pass auto-trust validation, while tokenEndpoint uses plaintext HTTP. The vault is auto-trusted without user prompt, and a network-positioned attacker can intercept the OAuth token exchange to access the Cryptomator Hub API as the victim. This issue has been fixed in version 1.19.2.
Характеристики атаки
Последствия
Строка CVSS v3.1