Platform
nodejs
Component
bulwarkmail/webmail
Opgelost in
1.4.12
CVE-2026-35391 is een kwetsbaarheid in Bulwark Webmail, een webmail client voor Stalwart Mail Server. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om het IP-adres te vervalsen via de X-Forwarded-For header, wat kan leiden tot brute-force aanvallen op de admin login of vervalsing van audit log entries. De kwetsbaarheid treft versies 1.4.0 tot en met 1.4.10. Een oplossing is beschikbaar in versie 1.4.11.
CVE-2026-35391 in Bulwark Webmail stelt een aanvaller in staat om hun oorspronkelijke IP-adres te vervalsen. Dit komt doordat de functie getClientIP() in lib/admin/session.ts vertrouwt op de eerste vermelding van de X-Forwarded-For header, die volledig door de client wordt gecontroleerd. Deze manipulatie kan IP-gebaseerde snelheidsbeperkingen omzeilen, waardoor brute-force aanvallen op de admin login worden vergemakkelijkt. Bovendien kunnen audit logboekitems worden vervalst, waardoor kwaadaardige activiteiten lijken afkomstig te zijn van willekeurige IP-adressen, wat detectie en incidentonderzoek belemmert. De ernst van deze kwetsbaarheid ligt in het potentieel om de beveiliging van het admin-paneel en de integriteit van systeemlogboeken in gevaar te brengen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door HTTP-verzoeken te verzenden met een vervalste X-Forwarded-For header. De Bulwark Webmail-server, die vertrouwt op de eerste vermelding van deze header, zou het vervalste IP-adres interpreteren als het daadwerkelijke IP-adres van de client. Dit zou de aanvaller in staat stellen om de geïmplementeerde snelheidsbeperkingen te omzeilen om de admin login te beschermen en audit logboeken te manipuleren om hun activiteiten te verbergen. De eenvoud van het manipuleren van de X-Forwarded-For header maakt deze kwetsbaarheid relatief gemakkelijk uit te buiten, zelfs voor aanvallers met beperkte technische expertise.
Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.
• nodejs / server:
grep -r "getClientIP()" /opt/bulwark-webmail/• generic web:
curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"• generic web:
tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De oplossing voor CVE-2026-35391 is om Bulwark Webmail te updaten naar versie 1.4.11 of hoger. Deze versie corrigeert de kwetsbaarheid door de X-Forwarded-For header correct te valideren en te sanitiseren voordat deze wordt gebruikt om het IP-adres van de client te bepalen. Het is ten zeerste aan te raden om deze update zo snel mogelijk toe te passen om het risico op aanvallen te beperken. Daarnaast dient u de beveiligingsbeleidsregels met betrekking tot de toegang tot de beheerder en logboekbeheer te beoordelen en te versterken, inclusief de implementatie van multi-factor authenticatie (MFA) voor het admin-paneel.
Actualice a la versión 1.4.11 o posterior para corregir la vulnerabilidad. Esta actualización corrige la forma en que se maneja el encabezado X-Forwarded-For, evitando que los atacantes falsifiquen direcciones IP y eviten las restricciones de velocidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een HTTP-header die het IP-adres van de oorspronkelijke client bevat die de aanvraag heeft gedaan, wanneer de aanvraag via een of meer proxies of load balancers gaat.
Versie 1.4.11 corrigeert de kwetsbaarheid door de X-Forwarded-For header correct te valideren, waardoor IP-adres spoofing wordt voorkomen.
Als u niet onmiddellijk kunt updaten, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het monitoren van audit logboeken en het beperken van de toegang tot het admin-paneel.
Ja, alle instanties van Bulwark Webmail die versies vóór 1.4.11 gebruiken, zijn kwetsbaar voor deze aanval.
U kunt meer informatie over CVE-2026-35391 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.