A autenticação OTP do Dovecot é vulnerável a ataques de repetição sob condições específicas. Se o cache de autenticação estiver ativado e o nome de usuário for alterado no passdb, as credenciais OTP podem ser armazenadas em cache para que a mesma resposta OTP seja válida.

A autenticação OTP do Dovecot é vulnerável a ataques de repetição sob condições específicas. Se o cache de autenticação estiver ativado e o nome de usuário for alterado no passdb, as credenciais OTP podem ser armazenadas em cache para que a mesma resposta OTP seja válida. Um atacante capaz de observar uma troca de OTP pode fazer login como o usuário. Se a autenticação ocorrer por meio de uma conexão não segura, mude para o protocolo SCRAM. Alternativamente, garanta que as comunicações sejam seguras e, se possível, mude para OAUTH2 ou SCRAM. Não são conhecidos exploits disponíveis publicamente.