Bulwark Webmail getClientIP() confia em valor X-Forwarded-For controlado pelo cliente, permitindo a contorna de limite de taxa e falsificação de logs de auditoria

Bulwark Webmail é um cliente de webmail auto-hospedado para Stalwart Mail Server. Anterior a 1.4.11, a função getClientIP() em lib/admin/session.ts confiava na primeira entrada (mais à esquerda) do cabeçalho X-Forwarded-For, que é totalmente controlado pelo cliente. Um atacante poderia falsificar seu endereço IP de origem para contornar o limite de taxa baseado em IP (permitindo ataques de força bruta contra o login do administrador) ou falsificar entradas de logs de auditoria (fazendo com que atividades maliciosas pareçam originar-se de endereços IP arbitrários). Esta vulnerabilidade é corrigida em 1.4.11.