Add blog post for Hub vault unlock security vulnerability disclosure

tobihagemann · tobihagemann · commit f1cd3e5ba9a1 · 2026-03-13T10:15:56.000+01:00
diff --git a/content/blog/2026-03-13-hub-vulnerability.de.md b/content/blog/2026-03-13-hub-vulnerability.de.md
@@ -0,0 +1,51 @@
+---
+title: "Sicherheitslücke beim Entsperren von Hub-Tresoren: Update Erforderlich"
+slug: hub-vault-unlock-vulnerability
+date: 2026-03-13
+tags: [cryptomator, hub, vulnerability]
+
+summary: "Wir haben ein wichtiges Sicherheitsupdate für alle Cryptomator-Client-Apps veröffentlicht, das eine Schwachstelle behebt, die alle Nutzer betrifft, die Hub-verwaltete Tresore entsperren."
+---
+Wir haben ein wichtiges Sicherheitsupdate für alle Cryptomator-Client-Apps veröffentlicht, das eine Schwachstelle behebt, die alle Nutzer betrifft, die Hub-verwaltete Tresore entsperren.
+
+## Erforderliche Maßnahme
+
+Bitte aktualisiert umgehend alle Cryptomator-Client-Anwendungen, die auf Hub-verwaltete Tresore zugreifen, auf die korrigierten Versionen:
+* [Cryptomator 1.19.1 für Desktop](https://github.com/cryptomator/cryptomator/releases/tag/1.19.1)
+* [Cryptomator 1.12.3 für Android](https://github.com/cryptomator/android/releases/tag/1.12.3)
+* [Cryptomator 2.8.3 für iOS](https://github.com/cryptomator/ios/releases/tag/2.8.3)
+
+Alle Downloads findet ihr auch auf unserer [Downloads-Seite](/downloads/).
+
+Nach dem Update zeigen Cryptomator-Clients, die sich mit selbst gehosteten Hub-Instanzen verbinden, einmalig einen „Diesem Host vertrauen?"-Dialog an, der individuell bestätigt werden muss. Bitte überprüft vor der Bestätigung, dass die angezeigte Hub-URL korrekt ist und mit eurer Cryptomator-Hub-Instanz übereinstimmt. Clients, die sich mit Cryptomator Hub Managed verbinden, sind von diesem Dialog nicht betroffen, da verwaltete Domains automatisch als vertrauenswürdig eingestuft werden.
+
+<figure class="text-center">
+  <img class="inline-block rounded-sm max-h-[302px]" src="/img/blog/vault-unlock-tofu.png" alt="„Diesem Host vertrauen?"-Dialog mit einer Hub-URL, die überprüft werden muss" />
+</figure>
+
+## Sind meine Tresore sicher?
+
+Ja. Da Cryptomator Hub Ende-zu-Ende-Verschlüsselung verwendet, waren Tresordaten zu keinem Zeitpunkt in Gefahr.
+
+## Welche Tresore sind betroffen?
+
+Die Schwachstelle befindet sich im Entsperr-Workflow von Hub-verwalteten Tresoren. Lokale Tresore sind nicht betroffen.
+
+## Welche Daten sind gefährdet?
+
+Ein Angreifer mit Schreibzugriff auf die verschlüsselten Daten könnte den Tresor so manipulieren, dass Cryptomator ein Session-Token an einen bösartigen Server sendet. Das abgegriffene Token kann dann verwendet werden, um sich als Nutzer auszugeben und auf unverschlüsselte Informationen wie Benutzernamen, Tresornamen usw. in Hub zuzugreifen.
+
+## Wurde die Schwachstelle ausgenutzt?
+
+Zum jetzigen Zeitpunkt liegen uns keine Hinweise auf eine aktive Ausnutzung dieser Schwachstelle vor.
+
+## Sicherheitshinweise
+
+Im Rahmen der verantwortungsvollen Offenlegung werden die vollständigen Sicherheitshinweise am 20. März veröffentlicht. Bis dahin sind die folgenden Links noch nicht erreichbar — das ist beabsichtigt:
+* Desktop: [CVE-2026-32303](https://github.com/cryptomator/cryptomator/security/advisories/GHSA-34rf-rwr3-7g43)
+* Android: [CVE-2026-32317](https://github.com/cryptomator/android/security/advisories/GHSA-876q-q3mm-fcvj)
+* iOS: [CVE-2026-32318](https://github.com/cryptomator/ios/security/advisories/GHSA-g7fr-c82r-hm6j)
+
+## Wie kann ich Hilfe erhalten?
+
+Bei weiteren Fragen oder wenn ihr Unterstützung beim Update benötigt, zögert nicht, uns unter [hub-support@cryptomator.org](mailto:hub-support@cryptomator.org) zu kontaktieren.
diff --git a/content/blog/2026-03-13-hub-vulnerability.en.md b/content/blog/2026-03-13-hub-vulnerability.en.md
@@ -0,0 +1,51 @@
+---
+title: "Security Vulnerability in Hub Vault Unlock: Update Required"
+slug: hub-vault-unlock-vulnerability
+date: 2026-03-13
+tags: [cryptomator, hub, vulnerability]
+
+summary: "We have released an important security fix for all Cryptomator client apps, which fixes a vulnerability affecting all users who unlock Hub-managed vaults."
+---
+We have released an important security fix for all Cryptomator client apps, which fixes a vulnerability affecting all users who unlock Hub-managed vaults.
+
+## Required Action
+
+Please update all your Cryptomator client applications that access Hub-managed vaults immediately to the fixed versions:
+* [Cryptomator 1.19.1 for Desktop](https://github.com/cryptomator/cryptomator/releases/tag/1.19.1)
+* [Cryptomator 1.12.3 for Android](https://github.com/cryptomator/android/releases/tag/1.12.3)
+* [Cryptomator 2.8.3 for iOS](https://github.com/cryptomator/ios/releases/tag/2.8.3)
+
+You can also find all downloads on our [downloads page](/downloads/).
+
+After the update, Cryptomator clients connecting to self-hosted Hub instances will show a one-time "Trust this host?" dialog that must be confirmed individually. Before accepting, please verify that the displayed Hub URL is correct and matches your Cryptomator Hub instance. Clients connecting to Cryptomator Hub Managed are not affected by this dialog, as managed domains are trusted automatically.
+
+<figure class="text-center">
+  <img class="inline-block rounded-sm max-h-[302px]" src="/img/blog/vault-unlock-tofu.png" alt="Trust this host? dialog showing a Hub URL that needs to be verified" />
+</figure>
+
+## Are my vaults safe?
+
+Yes. Since Cryptomator Hub uses end-to-end encryption, vault data was never in danger.
+
+## Which vaults are affected?
+
+The vulnerability lies within the unlock workflow of Hub-managed vaults. Local vaults are unaffected.
+
+## What data is at risk?
+
+An attacker with write access to your encrypted data could tamper the vault in a way that makes Cryptomator send a session token to a malicious server. The exfiltrated token can then be used to impersonate a user to access unencrypted information like usernames, vault names, etc. in Hub.
+
+## Has this been exploited?
+
+At this time, we have no evidence of active exploitation of this vulnerability.
+
+## Security Advisories
+
+As part of responsible disclosure, the full security advisories will be published on March 20. Until then, the following links will not work yet — this is expected and intentional:
+* Desktop: [CVE-2026-32303](https://github.com/cryptomator/cryptomator/security/advisories/GHSA-34rf-rwr3-7g43)
+* Android: [CVE-2026-32317](https://github.com/cryptomator/android/security/advisories/GHSA-876q-q3mm-fcvj)
+* iOS: [CVE-2026-32318](https://github.com/cryptomator/ios/security/advisories/GHSA-g7fr-c82r-hm6j)
+
+## How can I get help?
+
+If you have any further questions or need assistance during updates, don't hesitate to contact us at [hub-support@cryptomator.org](mailto:hub-support@cryptomator.org).
diff --git a/static/img/blog/vault-unlock-tofu.png b/static/img/blog/vault-unlock-tofu.png
