Bulwark WebmailのgetClientIP()関数における、信頼されたクライアント制御のX-Forwarded-For値による、レート制限回避と監査ログ偽装の脆弱性

Bulwark Webmail の CVE-2026-35391 は、攻撃者が自身のオリジン IP アドレスを偽装することを可能にします。これは、lib/admin/session.ts 内の getClientIP() 関数が、クライアントによって完全に制御される X-Forwarded-For ヘッダーの最初のエントリを信頼するためです。この操作により、IP ベースのレート制限を回避し、管理者ログインに対するブルートフォース攻撃を容易にすることができます。さらに、監査ログエントリを偽装することができ、悪意のある活動が任意の IP アドレスから発生しているように見せかけ、検出とインシデント調査を困難にします。この脆弱性の重大性は、管理パネルのセキュリティとシステムログの整合性を損なう可能性にあります。

Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.

• nodejs / server:

  grep -r "getClientIP()" /opt/bulwark-webmail/

• generic web:

  curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"

• generic web:

  tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"

1. 2026-04-06Disclosure

   disclosure

1. 予約済み2026-04-02
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

CVE-2026-35391 の解決策は、Bulwark Webmail をバージョン 1.4.11 以降に更新することです。このバージョンは、クライアントの IP アドレスを決定するために使用する前に、X-Forwarded-For ヘッダーを適切に検証およびサニタイズすることで脆弱性を修正します。攻撃のリスクを軽減するために、できるだけ早くこの更新を適用することを強くお勧めします。さらに、管理アクセスとログ管理に関連するセキュリティポリシーを見直し、強化し、管理パネル用の多要素認証 (MFA) の実装を含めます。