L'authentification OTP de Dovecot est vulnérable à une attaque par rejeu dans des conditions spécifiques. Si le cache d'authentification est activé et que le nom d'utilisateur est modifié dans passdb, les informations d'identification OTP peuvent être mises en cache de sorte que la même réponse OTP re

L'authentification OTP de Dovecot est vulnérable à une attaque par rejeu dans des conditions spécifiques. Si le cache d'authentification est activé et que le nom d'utilisateur est modifié dans passdb, les informations d'identification OTP peuvent être mises en cache de sorte que la même réponse OTP soit valide. Un attaquant capable d'observer un échange OTP est capable de se connecter en tant qu'utilisateur. Si l'authentification se fait via une connexion non sécurisée, passez au protocole SCRAM. Alternativement, assurez-vous que les communications sont sécurisées et, si possible, passez à OAUTH2 ou SCRAM. Aucun exploit publiquement disponible n'est connu.