Plateforme
nodejs
Composant
bulwarkmail/webmail
Corrigé dans
1.4.12
CVE-2026-35391 affecte Bulwark Webmail, un client de messagerie web auto-hébergé pour Stalwart Mail Server. La fonction getClientIP() dans lib/admin/session.ts faisait confiance à la première entrée de l'en-tête X-Forwarded-For, permettant à un attaquant de falsifier son adresse IP. Cela pouvait contourner la limitation de débit basée sur l'IP et falsifier les entrées du journal d'audit, affectant les versions 1.4.0 à 1.4.10. Une correction est disponible dans la version 1.4.11.
La vulnérabilité CVE-2026-35391 dans Bulwark Webmail permet à un attaquant de falsifier son adresse IP d'origine. Cela est dû au fait que la fonction getClientIP() dans lib/admin/session.ts fait confiance à la première entrée de l'en-tête X-Forwarded-For, qui est entièrement contrôlée par le client. Cette manipulation peut contourner les limitations de débit basées sur l'IP, facilitant les attaques par force brute contre la connexion administrateur. De plus, les entrées du journal d'audit peuvent être falsifiées, ce qui fait apparaître des activités malveillantes comme provenant d'adresses IP arbitraires, ce qui rend la détection et l'investigation des incidents plus difficiles. La gravité de cette vulnérabilité réside dans son potentiel à compromettre la sécurité du panneau d'administration et l'intégrité des journaux système.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP avec un en-tête X-Forwarded-For falsifié. Le serveur Bulwark Webmail, en faisant confiance à la première entrée de cet en-tête, interpréterait l'adresse IP falsifiée comme l'adresse IP réelle du client. Cela permettrait à l'attaquant de contourner les limitations de débit mises en place pour protéger la connexion administrateur et de manipuler les journaux d'audit pour dissimuler ses activités. La facilité de manipulation de l'en-tête X-Forwarded-For rend cette vulnérabilité relativement facile à exploiter, même pour les attaquants ayant des compétences techniques limitées.
Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.
• nodejs / server:
grep -r "getClientIP()" /opt/bulwark-webmail/• generic web:
curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"• generic web:
tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La solution pour CVE-2026-35391 consiste à mettre à jour Bulwark Webmail vers la version 1.4.11 ou ultérieure. Cette version corrige la vulnérabilité en validant et en nettoyant correctement l'en-tête X-Forwarded-For avant de l'utiliser pour déterminer l'adresse IP du client. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour atténuer le risque d'attaques. De plus, examinez et renforcez les politiques de sécurité relatives à l'accès administrateur et à la gestion des journaux, y compris la mise en œuvre de l'authentification multifacteur (MFA) pour le panneau d'administration.
Actualice a la versión 1.4.11 o posterior para corregir la vulnerabilidad. Esta actualización corrige la forma en que se maneja el encabezado X-Forwarded-For, evitando que los atacantes falsifiquen direcciones IP y eviten las restricciones de velocidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un en-tête HTTP qui contient l'adresse IP du client d'origine qui a effectué la requête, lorsque la requête passe par un ou plusieurs proxys ou équilibreurs de charge.
La version 1.4.11 corrige la vulnérabilité en validant correctement l'en-tête X-Forwarded-For, empêchant ainsi la falsification de l'adresse IP.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la surveillance des journaux d'audit et la restriction de l'accès au panneau d'administration.
Oui, toutes les instances de Bulwark Webmail utilisant des versions antérieures à 1.4.11 sont vulnérables à cette attaque.
Vous pouvez trouver plus d'informations sur CVE-2026-35391 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.