Plattform
nodejs
Komponente
bulwarkmail/webmail
Behoben in
1.4.12
CVE-2026-35391 affects Bulwark Webmail versions 1.4.0 through 1.4.10. This vulnerability stems from the improper handling of the X-Forwarded-For header, allowing attackers to manipulate the perceived source IP address. Exploitation can lead to brute-force attacks against the admin login and the falsification of audit log entries, potentially masking malicious activity. The vulnerability is resolved in version 1.4.11.
CVE-2026-35391 in Bulwark Webmail ermöglicht einem Angreifer, seine ursprüngliche IP-Adresse zu fälschen. Dies liegt daran, dass die Funktion getClientIP() in lib/admin/session.ts dem ersten Eintrag des X-Forwarded-For-Headers vertraut, der vollständig vom Client kontrolliert wird. Diese Manipulation kann IP-basierte Ratenbegrenzungen umgehen und so Brute-Force-Angriffe auf die Admin-Anmeldung erleichtern. Darüber hinaus können Audit-Protokolleinträge gefälscht werden, wodurch bösartige Aktivitäten so aussehen, als ob sie von beliebigen IP-Adressen stammen, was die Erkennung und Untersuchung von Vorfällen erschwert. Die Schwere dieser Schwachstelle liegt in ihrem Potenzial, die Sicherheit des Admin-Panels und die Integrität der Systemprotokolle zu gefährden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er HTTP-Anfragen mit einem gefälschten X-Forwarded-For-Header sendet. Der Bulwark Webmail-Server, der dem ersten Eintrag dieses Headers vertraut, würde die gefälschte IP-Adresse als die tatsächliche IP-Adresse des Clients interpretieren. Dies würde es dem Angreifer ermöglichen, die implementierten Ratenbegrenzungen zur Sicherung der Admin-Anmeldung zu umgehen und Audit-Protokolle zu manipulieren, um seine Aktivitäten zu verschleiern. Die einfache Manipulation des X-Forwarded-For-Headers macht diese Schwachstelle relativ einfach ausnutzbar, selbst für Angreifer mit begrenzten technischen Kenntnissen.
Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.
• nodejs / server:
grep -r "getClientIP()" /opt/bulwark-webmail/• generic web:
curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"• generic web:
tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"disclosure
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Die Lösung für CVE-2026-35391 ist die Aktualisierung von Bulwark Webmail auf Version 1.4.11 oder höher. Diese Version behebt die Schwachstelle, indem sie den X-Forwarded-For-Header vor der Verwendung zur Bestimmung der IP-Adresse des Clients ordnungsgemäß validiert und bereinigt. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko von Angriffen zu mindern. Darüber hinaus sollten Sie Sicherheitsrichtlinien im Zusammenhang mit dem Administratorzugriff und der Protokollverwaltung überprüfen und verstärken, einschließlich der Implementierung einer Multi-Faktor-Authentifizierung (MFA) für das Admin-Panel.
Actualice a la versión 1.4.11 o posterior para corregir la vulnerabilidad. Esta actualización corrige la forma en que se maneja el encabezado X-Forwarded-For, evitando que los atacantes falsifiquen direcciones IP y eviten las restricciones de velocidad.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein HTTP-Header, der die IP-Adresse des ursprünglichen Clients enthält, der die Anfrage gestellt hat, wenn die Anfrage über einen oder mehrere Proxys oder Load Balancer geleitet wird.
Version 1.4.11 behebt die Schwachstelle, indem sie den X-Forwarded-For-Header korrekt validiert und so die IP-Adressfälschung verhindert.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. die Audit-Protokolle überwachen und den Zugriff auf das Admin-Panel einschränken.
Ja, alle Instanzen von Bulwark Webmail, die Versionen vor 1.4.11 verwenden, sind anfällig für diesen Angriff.
Sie finden weitere Informationen zu CVE-2026-35391 in Schwachstellen-Datenbanken wie der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.