Michal Hlavinka

**Nome do software vulnerável e versões afetadas** Versões 2.3.9 a 2.3.9.2 do Dovecot **Descrição** O problema está relacionado ao tratamento incorreto de dados UTF-8 truncados nos parâmetros de comando pela biblioteca lib-smtp nos módulos submission-login e lmtp. Isso pode ser demonstrado pelo acionamento não autenticado de um loop infinito no submission-login. **Recomendações** Para as versões 2.3.9 a 2.3.9.2 do Dovecot, atualize para a versão 2.3.9.3 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Dovecot versions prior to 2.3.9.2 **Description** The issue allows an attacker to crash a push-notification driver with a crafted email when push notifications are used, due to a NULL Pointer Dereference. This can be achieved by using a group address as either the sender or the recipient in the email. **Recommendations** For versions prior to 2.3.9.2, update to version 2.3.9.2 or later to resolve the issue. As a temporary workaround, consider disabling push notifications until a patch is available. Restrict access to the push-notification driver to minimize the risk of exploitation.