Platform
other
Component
ox-dovecot-pro
Opgelost in
2.3.1
CVE-2026-27855 beschrijft een kwetsbaarheid voor replay-aanvallen in OX Dovecot Pro. Onder specifieke omstandigheden, met name wanneer de authenticatiecache is ingeschakeld en de gebruikersnaam in de passdb wordt gewijzigd, kunnen OTP-credentials worden gecached, waardoor dezelfde OTP-reply geldig blijft. Een succesvolle aanval stelt een kwaadwillende in staat om in te loggen als de betreffende gebruiker na het observeren van een OTP-uitwisseling. De kwetsbaarheid treft OX Dovecot Pro versies 0 tot en met 2.3.0. Om dit te verhelpen, wordt aangeraden om over te schakelen naar het SCRAM-protocol of OAUTH2, of ervoor te zorgen dat de communicatie beveiligd is.
CVE-2026-27855 treft Dovecot Pro en onthult een replay-aanval kwetsbaarheid in OTP (One-Time Password) authenticatie. Deze kwetsbaarheid treedt op wanneer de authenticatiecache is ingeschakeld en de gebruikersnaam is gewijzigd in de passdb. Onder deze omstandigheden kunnen OTP-credentials worden gecached, waardoor een eerder geldige OTP-reactie opnieuw kan worden gebruikt. Een aanvaller die het OTP-uitwisseling kan observeren, kan mogelijk inloggen als de getroffen gebruiker. De ernst van deze kwetsbaarheid wordt beoordeeld op 6.8 volgens CVSS.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller het OTP-uitwisselingsproces kan observeren en dat de authenticatiecache is ingeschakeld, samen met de wijziging van de gebruikersnaam in de passdb. Het ontbreken van publiekelijk bekende exploits doet niets af aan het belang van het toepassen van de aanbevolen mitigaties, aangezien exploitcreatie een constante mogelijkheid is. De kwetsbaarheid wordt verergerd als communicatie niet is versleuteld, waardoor de interceptie van de OTP-uitwisseling wordt vergemakkelijkt.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
Om dit risico te beperken, wordt ten sterkste aanbevolen om het SCRAM-protocol te gebruiken in plaats van OTP, vooral als de authenticatie plaatsvindt via een onveilige verbinding. Het beveiligen van communicatie via encryptie (TLS/SSL) is cruciaal. Overweeg alternatief om te migreren naar veiligere authenticatiemethoden zoals OAuth2 of SCRAM. Het updaten naar de nieuwste versie van Dovecot Pro, zodra beschikbaar, is essentieel om deze kwetsbaarheid aan te pakken. In de tussentijd kan het monitoren van authenticatielogboeken helpen bij het detecteren van verdachte activiteiten.
Actualice a una versión posterior a la 2.3.0. Como alternativa, asegure las comunicaciones utilizando SCRAM, OAUTH2 o conexiones seguras. Desactive el caché de autenticación si no es posible actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OTP (One-Time Password) is een eenmalige beveiligingscode. De kwetsbaarheid ligt in het feit dat, onder bepaalde omstandigheden, OTP-reacties kunnen worden gecached en hergebruikt, waardoor een aanvaller als de gebruiker kan inloggen.
Als u Dovecot Pro gebruikt met een ingeschakelde authenticatiecache en gebruikersnamen in de passdb heeft gewijzigd, is de kans groot dat u getroffen bent.
Totdat een update wordt uitgebracht, is de beste oplossing om de authenticatiecache uit te schakelen of het SCRAM-protocol over veilige verbindingen te gebruiken.
CVSS 6.8 duidt op een kwetsbaarheid van gemiddelde tot hoge ernst die aandacht en mitigatie vereist.
Raadpleeg de officiële Dovecot Pro-documentatie en industriële beveiligingsbronnen voor updates en aanvullende details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.