Dovecot OTP認証は、特定の条件下でリプレイ攻撃に対して脆弱です。認証キャッシュが有効で、passdbでユーザー名が変更された場合、同じOTPの返信が有効になるようにOTPクレデンシャルがキャッシュされる可能性があります。

Dovecot OTP認証は、特定の条件下でリプレイ攻撃に対して脆弱です。認証キャッシュが有効で、passdbでユーザー名が変更された場合、同じOTPの返信が有効になるようにOTPクレデンシャルがキャッシュされる可能性があります。OTP交換を観察できる攻撃者は、ユーザーとしてログインできます。認証が安全でない接続を介して行われる場合は、SCRAMプロトコルに切り替えてください。または、通信が保護されていることを確認し、可能であればOAUTH2またはSCRAMに切り替えてください。公的に利用可能なエクスプロイトは知られていません。