Аутентификацию на основе Dovecot SQL можно обойти, если администратор очистил auth_username_chars. Эта уязвимость позволяет обойти аутентификацию любого пользователя и перечисления пользователей. Не очищайте auth_username_chars.
Если это невозможно, установите последнюю исправленную версию. Никаких общедоступных эксплойтов неизвестно.
Показать оригинальное описание (EN)
Dovecot SQL based authentication can be bypassed when auth_username_chars is cleared by admin. This vulnerability allows bypassing authentication for any user and user enumeration. Do not clear auth_username_chars. If this is not possible, install latest fixed version. No publicly available exploits are known.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1