Bulwark Webmail getClientIP() fait confiance à une valeur X-Forwarded-For contrôlée par le client, permettant de contourner les limites de débit et de falsifier les journaux d'audit

Bulwark Webmail est un client de messagerie web auto-hébergé pour Stalwart Mail Server. Avant la version 1.4.11, la fonction getClientIP() dans lib/admin/session.ts faisait confiance à la première entrée (la plus à gauche) de l'en-tête X-Forwarded-For, qui est entièrement contrôlée par le client. Un attaquant pourrait falsifier son adresse IP source pour contourner la limitation de débit basée sur l'IP (permettant des attaques par force brute contre la connexion administrateur) ou falsifier les entrées du journal d'audit (faisant apparaître une activité malveillante comme provenant d'adresses IP arbitraires). Cette vulnérabilité est corrigée dans la version 1.4.11.