CVE-2026-35389: S/MIME 検証不備 in Bulwark Webmail

この脆弱性を悪用されると、攻撃者は偽の署名を持つメールを送信し、受信者を欺くことが可能になります。受信者は、攻撃者が送信したメールを正規のメールと誤認し、悪意のあるリンクをクリックしたり、添付ファイルを開いたりする可能性があります。これにより、マルウェア感染、情報漏洩、またはその他の悪意のある行為につながる可能性があります。特に、組織内の重要な人物を標的としたビジネスメール詐欺（BEC）攻撃において、この脆弱性が悪用されるリスクがあります。信頼チェーンの検証不備により、攻撃者は容易に偽の署名を生成し、受信者を騙すことが可能になるため、注意が必要です。

Organizations using self-hosted Bulwark Webmail instances, particularly those with limited security expertise or those who have not implemented robust email security practices, are at significant risk. Shared hosting environments where multiple users share a single Bulwark Webmail instance are also particularly vulnerable, as a compromise of one user's account could potentially expose all users.

• php: Examine Bulwark Webmail configuration files for settings related to S/MIME verification. Look for checkChain: false or similar configurations that disable certificate chain validation.

<?php
  // Example: Check for the presence of this setting in the configuration file
  $config_file = '/path/to/bulwark/config.php';
  $content = file_get_contents($config_file);
  if (strpos($content, 'checkChain: false') !== false) {
    echo 'Potential vulnerability detected!';
  }
?>

1. 2026-04-06Disclosure

   disclosure

1. 予約済み2026-04-02
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

この脆弱性への対応策として、まずBulwark Webmail をバージョン 1.4.11 にアップデートすることを推奨します。アップデートが困難な場合は、S/MIME 署名を持つメールの受信を一時的に無効化するか、信頼されていない証明書で署名されたメールを警告表示するように設定を変更することを検討してください。また、メールセキュリティゲートウェイや WAF を導入し、不審な S/MIME 署名を持つメールを検知・ブロックするルールを設定することも有効です。アップデート後、S/MIME 署名の検証が正しく行われていることを確認してください。