प्लेटफ़ॉर्म
other
घटक
ox-dovecot-pro
में ठीक किया गया
2.3.1
CVE-2026-27855, OX Dovecot Pro में एक भेद्यता है जो OTP प्रमाणीकरण को रीप्ले अटैक के प्रति संवेदनशील बनाती है। यदि प्रमाणीकरण कैश सक्षम है और पासडीबी में उपयोगकर्ता नाम बदल दिया गया है, तो OTP क्रेडेंशियल कैश किए जा सकते हैं, जिससे समान OTP उत्तर मान्य हो जाता है। एक हमलावर जो OTP एक्सचेंज का निरीक्षण करने में सक्षम है, उपयोगकर्ता के रूप में लॉग इन कर सकता है। यह भेद्यता OX Dovecot Pro के संस्करण 0–2.3.0 को प्रभावित करती है। इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच अभी तक उपलब्ध नहीं है।
CVE-2026-27855 Dovecot Pro को प्रभावित करता है, OTP (एक बार का पासवर्ड) प्रमाणीकरण में एक रीप्ले अटैक भेद्यता को उजागर करता है। यह भेद्यता तब होती है जब प्रमाणीकरण कैश सक्षम होता है और passdb में उपयोगकर्ता नाम संशोधित किया जाता है। इन परिस्थितियों में, OTP क्रेडेंशियल को कैश किया जा सकता है, जिससे पहले मान्य OTP प्रतिक्रिया का पुन: उपयोग किया जा सकता है। OTP एक्सचेंज को देखने में सक्षम एक हमलावर प्रभावित उपयोगकर्ता के रूप में लॉग इन कर सकता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 6.8 के रूप में रेट किया गया है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को OTP एक्सचेंज प्रक्रिया को देखने और प्रमाणीकरण कैश को सक्षम करने के साथ-साथ passdb में उपयोगकर्ता नाम को संशोधित करने में सक्षम होना चाहिए। सार्वजनिक रूप से ज्ञात शोषण की अनुपस्थिति अनुशंसित शमन उपायों को लागू करने के महत्व को कम नहीं करती है, क्योंकि शोषण निर्माण एक निरंतर संभावना है। यदि संचार एन्क्रिप्ट नहीं किया गया है, तो भेद्यता बढ़ जाती है, जिससे OTP एक्सचेंज को रोकना आसान हो जाता है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने के लिए, OTP के बजाय SCRAM प्रोटोकॉल का उपयोग करने की पुरजोर अनुशंसा की जाती है, खासकर यदि प्रमाणीकरण असुरक्षित कनेक्शन पर होता है। एन्क्रिप्शन (TLS/SSL) के माध्यम से संचार को सुरक्षित करना महत्वपूर्ण है। वैकल्पिक रूप से, OAuth2 या SCRAM जैसे अधिक सुरक्षित प्रमाणीकरण विधियों में माइग्रेट करने पर विचार करें। उपलब्ध होते ही Dovecot Pro के नवीनतम संस्करण में अपडेट करना इस भेद्यता को संबोधित करने के लिए आवश्यक है। इस बीच, प्रमाणीकरण लॉग की निगरानी संदिग्ध गतिविधि का पता लगाने में मदद कर सकती है।
Actualice a una versión posterior a la 2.3.0. Como alternativa, asegure las comunicaciones utilizando SCRAM, OAUTH2 o conexiones seguras. Desactive el caché de autenticación si no es posible actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OTP (एक बार का पासवर्ड) एक एक बार उपयोग किया जाने वाला सुरक्षा कोड है। भेद्यता इस तथ्य में निहित है कि कुछ परिस्थितियों में, OTP प्रतिक्रियाओं को कैश किया जा सकता है और पुन: उपयोग किया जा सकता है, जिससे एक हमलावर उपयोगकर्ता के रूप में लॉग इन कर सकता है।
यदि आप प्रमाणीकरण कैश के साथ Dovecot Pro का उपयोग कर रहे हैं और passdb में उपयोगकर्ता नाम संशोधित किए हैं, तो आप संभवतः प्रभावित हैं।
एक अपडेट जारी होने तक, सबसे अच्छा समाधान प्रमाणीकरण कैश को अक्षम करना या सुरक्षित कनेक्शन पर SCRAM प्रोटोकॉल का उपयोग करना है।
CVSS 6.8 एक मध्यम से उच्च गंभीरता की भेद्यता का संकेत देता है जिसके लिए ध्यान और शमन की आवश्यकता होती है।
अतिरिक्त विवरण और अपडेट के लिए Dovecot Pro के आधिकारिक दस्तावेज़ और उद्योग सुरक्षा स्रोतों से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।