パスワードは、 平文を簡単に暗号化してクライアント側に保存されており、 送信の際も同じ暗号化が用いられます。 この暗号化は、パスワードが偶然見られること (すなわちシステム管理者が 不注意に見てしまう事) を防ぐためのもので、 素人のパスワード攻撃さえ防ぐことが出来ません。
CVS 独自のパスワードファイルにより (「4.6.2.1 パスワード認証のためのサーバ側の設定」参照)、 リポジトリを利用する時には、 システムにログインする時とは別のパスワードが使用できます。 しかし、一旦リポジトリが利用可能になれば、 多様な方法により、サーバ上でプログラムが実行可能になります。 つまりリポジトリの利用は、 かなり広範囲にシステムが利用できる事を暗示しています。 これを防止するように CVS を修正する事は可能でしょうが、 現在までに誰もやっていません。 さらに CVS を利用して、 システムに対するより一般的な権限を獲得する別の方法が存在するでしょう。 しかし誰も徹底した審査を行っていません。
要約すると、 パスワードを得た人物は誰でもリポジトリを利用でき、 またある程度通常のシステム利用も可能になります。 ネットワークのパケットを漁ったり、 保護された (つまり所有者のみ読み込み可能な) ファイルを読むことができる、 全ての人物がパスワードを入手可能です。 あなたが本物の安全を望むのならば、ケルベロスにしましょう。