Vulnerabilidad en cryptomator (CVE-2026-32303)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/03/2026

Última modificación:

26/03/2026

Descripción

Cryptomator cifra datos almacenados en infraestructura en la nube. Antes de la versión 1.19.1, una vulnerabilidad de verificación de integridad permite a un atacante manipular el archivo de configuración de la bóveda, lo que lleva a una vulnerabilidad de man-in-the-middle en el mecanismo de carga de claves de Hub. Antes de esta corrección, el cliente confiaba en los puntos finales de la configuración de la bóveda sin verificaciones de autenticidad del host, lo que podría permitir la exfiltración de tokens al mezclar un punto final de autenticación legítimo con un punto final de API malicioso. Los usuarios afectados son aquellos que desbloquean bóvedas respaldadas por Hub con versiones de cliente afectadas en entornos donde un atacante puede alterar el archivo vault.cryptomator. Este problema ha sido parcheado en la versión 1.19.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno