प्लेटफ़ॉर्म
nodejs
घटक
bulwarkmail/webmail
में ठीक किया गया
1.4.12
Bulwark Webmail, Stalwart Mail Server के लिए एक स्व-होस्टेड वेबमेल क्लाइंट है। संस्करण 1.4.11 से पहले, getClientIP() फ़ंक्शन X-Forwarded-For हेडर के पहले प्रविष्टि पर भरोसा करता था, जिसे क्लाइंट द्वारा पूरी तरह से नियंत्रित किया जा सकता था। इससे हमलावर अपने स्रोत IP पते को बना सकते हैं, जिससे IP-आधारित दर सीमित बाईपास हो सकता है या ऑडिट लॉग प्रविष्टियों में छेड़छाड़ हो सकती है। संस्करण 1.4.11 में इस समस्या का समाधान किया गया है।
Bulwark Webmail में CVE-2026-35391 एक हमलावर को उसका मूल IP पता बनाने की अनुमति देता है। ऐसा इसलिए है क्योंकि lib/admin/session.ts में getClientIP() फ़ंक्शन X-Forwarded-For हेडर की पहली प्रविष्टि पर भरोसा करता है, जिसे पूरी तरह से क्लाइंट द्वारा नियंत्रित किया जाता है। यह हेरफेर IP-आधारित दर सीमित करने को बायपास कर सकता है, जिससे व्यवस्थापक लॉगिन पर ब्रूट-फोर्स हमले आसान हो सकते हैं। इसके अतिरिक्त, ऑडिट लॉग प्रविष्टियों को जाली बनाया जा सकता है, जिससे दुर्भावनापूर्ण गतिविधि को मनमाने IP पतों से उत्पन्न होने के रूप में दिखाया जा सकता है, जिससे पता लगाना और घटना की जांच करना मुश्किल हो जाता है। इस भेद्यता की गंभीरता इसकी व्यवस्थापक पैनल की सुरक्षा और सिस्टम लॉग की अखंडता को खतरे में डालने की क्षमता में निहित है।
एक हमलावर इस भेद्यता का फायदा उठाने के लिए HTTP अनुरोधों को एक जाली X-Forwarded-For हेडर के साथ भेजकर फायदा उठा सकता है। Bulwark Webmail सर्वर इस हेडर की पहली प्रविष्टि पर भरोसा करेगा और जाली IP पते को क्लाइंट के वास्तविक IP पते के रूप में व्याख्या करेगा। यह हमलावर को व्यवस्थापक लॉगिन की सुरक्षा के लिए लागू दर सीमित करने को बायपास करने और अपनी गतिविधियों को छिपाने के लिए ऑडिट लॉग को हेरफेर करने की अनुमति देगा। X-Forwarded-For हेडर के हेरफेर में आसानी इस भेद्यता को अपेक्षाकृत आसानी से शोषण करने योग्य बनाती है, भले ही हमलावरों के पास सीमित तकनीकी विशेषज्ञता हो।
Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.
• nodejs / server:
grep -r "getClientIP()" /opt/bulwark-webmail/• generic web:
curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"• generic web:
tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVE-2026-35391 के लिए समाधान Bulwark Webmail को संस्करण 1.4.11 या बाद में अपडेट करना है। यह संस्करण क्लाइंट के IP पते को निर्धारित करने के लिए उपयोग करने से पहले X-Forwarded-For हेडर को ठीक से मान्य और सैनिटाइज करके भेद्यता को ठीक करता है। हमलों के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की जोरदार सिफारिश की जाती है। इसके अतिरिक्त, व्यवस्थापक पहुंच और लॉग प्रबंधन से संबंधित सुरक्षा नीतियों की समीक्षा और मजबूत करें, जिसमें व्यवस्थापक पैनल के लिए बहु-कारक प्रमाणीकरण (MFA) को लागू करना शामिल है।
Actualice a la versión 1.4.11 o posterior para corregir la vulnerabilidad. Esta actualización corrige la forma en que se maneja el encabezado X-Forwarded-For, evitando que los atacantes falsifiquen direcciones IP y eviten las restricciones de velocidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक HTTP हेडर है जिसमें अनुरोध करने वाले मूल क्लाइंट का IP पता होता है, जब अनुरोध एक या अधिक प्रॉक्सी या लोड बैलेंसर के माध्यम से गुजरता है।
संस्करण 1.4.11 X-Forwarded-For हेडर को ठीक से मान्य करके भेद्यता को ठीक करता है, जिससे IP पता स्पूफिंग को रोका जा सकता है।
अगर आप तुरंत अपग्रेड नहीं कर सकते हैं, तो ऑडिट लॉग की निगरानी और व्यवस्थापक पैनल तक पहुंच को प्रतिबंधित करने जैसे अतिरिक्त सुरक्षा उपाय करने पर विचार करें।
हाँ, 1.4.11 से पहले के संस्करणों का उपयोग करने वाले Bulwark Webmail के सभी उदाहरण इस हमले के प्रति संवेदनशील हैं।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2026-35391 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।