Bulwark Webmail getClientIP() में विश्वसनीय क्लाइंट-नियंत्रित X-Forwarded-For मान, जिससे दर सीमा (rate limit) को बायपास किया जा सकता है और ऑडिट लॉग जालसाजी की जा सकती है

Bulwark Webmail Stalwart Mail Server के लिए एक स्व-होस्टेड वेबमेल क्लाइंट है। 1.4.11 से पहले, lib/admin/session.ts में getClientIP() फ़ंक्शन X-Forwarded-For हेडर की पहली (सबसे बाईं) प्रविष्टि पर भरोसा करता था, जिसे पूरी तरह से क्लाइंट द्वारा नियंत्रित किया जाता है। एक हमलावर अपने स्रोत IP पते को जालसाजी कर IP-आधारित दर सीमा को बायपास कर सकता है (व्यवस्थापक लॉगिन के खिलाफ ब्रूट-फोर्स हमले को सक्षम करना) या ऑडिट लॉग प्रविष्टियों को जालसाजी कर सकता है (दुर्भावनापूर्ण गतिविधि को मनमाने IP पतों से उत्पन्न होने के रूप में दिखा सकता है)। यह भेद्यता 1.4.11 में ठीक की गई है।