Platform
php
Component
bulwarkmail
Opgelost in
1.4.12
CVE-2026-35389 beschrijft een kwetsbaarheid in Bulwark Webmail, een self-hosted webmail client voor Stalwart Mail Server. Deze kwetsbaarheid stelt aanvallers in staat om S/MIME signaturen te omzeilen, waardoor de authenticiteit van e-mails niet correct kan worden geverifieerd. De kwetsbaarheid treft versies 1.4.0 tot en met 1.4.10 van Bulwark Webmail. De kwetsbaarheid is verholpen in versie 1.4.11.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om valse e-mails te versturen die eruitzien alsof ze afkomstig zijn van een vertrouwde bron. Omdat de S/MIME signaturen niet correct worden geverifieerd, kan de ontvanger de e-mail als authentiek beschouwen, zelfs als deze is gemanipuleerd of afkomstig is van een kwaadwillende partij. Dit kan leiden tot phishing-aanvallen, het verspreiden van malware of andere vormen van fraude. De impact is vooral groot in omgevingen waar e-mail een cruciale rol speelt in de communicatie en besluitvorming.
Er zijn momenteel geen publieke proof-of-concept exploits bekend voor CVE-2026-35389. De kwetsbaarheid is opgenomen in het CISA KEV catalogus met een lage waarschijnlijkheid van exploitatie (low). De publicatie van de CVE op 2026-04-06 geeft aan dat de kwetsbaarheid recentelijk is ontdekt en openbaar is gemaakt.
Organizations using self-hosted Bulwark Webmail instances, particularly those with limited security expertise or those who have not implemented robust email security practices, are at significant risk. Shared hosting environments where multiple users share a single Bulwark Webmail instance are also particularly vulnerable, as a compromise of one user's account could potentially expose all users.
• php: Examine Bulwark Webmail configuration files for settings related to S/MIME verification. Look for checkChain: false or similar configurations that disable certificate chain validation.
<?php
// Example: Check for the presence of this setting in the configuration file
$config_file = '/path/to/bulwark/config.php';
$content = file_get_contents($config_file);
if (strpos($content, 'checkChain: false') !== false) {
echo 'Potential vulnerability detected!';
}
?>disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van Bulwark Webmail naar versie 1.4.11. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het versterken van de e-mailfiltering en het trainen van gebruikers om verdachte e-mails te herkennen. Het is belangrijk om te benadrukken dat deze workarounds de kwetsbaarheid niet volledig elimineren, maar wel de risico's kunnen verminderen. Controleer na de upgrade of de S/MIME signaturen correct worden gevalideerd door een test e-mail met een zelfondertekend certificaat te verzenden en te controleren of deze als ongeldig wordt gemarkeerd.
Werk Bulwark Webmail bij naar versie 1.4.11 of hoger om de kwetsbaarheid te verhelpen. Deze versie valideert de (S/MIME) certificaatvertrouwensketen correct, waardoor e-mailhandtekeningen met zelfondertekende of niet-vertrouwde certificaten niet als geldig worden beschouwd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35389 beschrijft een kwetsbaarheid in Bulwark Webmail waardoor S/MIME signaturen niet correct worden geverifieerd, waardoor valse e-mails als authentiek kunnen worden beschouwd.
Ja, als u Bulwark Webmail gebruikt in versie 1.4.0 tot en met 1.4.10, dan bent u getroffen door deze kwetsbaarheid.
Upgrade Bulwark Webmail naar versie 1.4.11 om deze kwetsbaarheid te verhelpen. Indien een upgrade niet direct mogelijk is, implementeer dan extra beveiligingsmaatregelen.
Op dit moment zijn er geen publieke exploits bekend, maar de kwetsbaarheid is opgenomen in de CISA KEV catalogus.
Raadpleeg de website van Stalwart Mail Server voor de officiële advisory met betrekking tot CVE-2026-35389.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.