Vulnerabilidad en android de cryptomator (CVE-2026-32317)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/03/2026

Última modificación:

26/03/2026

Descripción

Cryptomator para Android ofrece cifrado del lado del cliente transparente multiplataforma para archivos en la nube. Antes de la versión 1.12.3, una vulnerabilidad de verificación de integridad permite a un atacante manipular el archivo de configuración de la bóveda, lo que lleva a una vulnerabilidad man-in-the-middle en el mecanismo de carga de claves de Hub. Antes de esta corrección, el cliente confiaba en los puntos finales de la configuración de la bóveda sin comprobaciones de autenticidad del host, lo que podría permitir la exfiltración de tokens al mezclar un punto final de autenticación legítimo con un punto final de API malicioso. Los usuarios afectados son aquellos que desbloquean bóvedas respaldadas por Hub con versiones de cliente afectadas en entornos donde un atacante puede alterar el archivo vault.cryptomator. Este problema ha sido parcheado en la versión 1.12.3.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno