Plataforma
php
Componente
bulwarkmail
Corrigido em
1.4.12
Uma vulnerabilidade foi descoberta no Bulwark Webmail, um cliente de webmail auto-hospedado para o Stalwart Mail Server. Antes da versão 1.4.11, o processo de verificação de assinatura S/MIME não validava a cadeia de confiança do certificado (checkChain: false). Isso permitiu que e-mails assinados com certificados autoassinados ou não confiáveis fossem exibidos como tendo uma assinatura válida, comprometendo a integridade das mensagens.
Esta falha permite que um atacante crie e envie e-mails maliciosos que aparentam ser legítimos. Ao assinar esses e-mails com um certificado autoassinado ou não confiável, o Bulwark Webmail exibirá a assinatura como válida, enganando o usuário a acreditar que a mensagem é autêntica e segura. Isso pode ser explorado para phishing, disseminação de malware ou outras atividades maliciosas, pois o usuário pode ser induzido a clicar em links ou baixar anexos perigosos, confiando na falsa indicação de assinatura válida. A confiança na comunicação por e-mail é fundamental, e esta vulnerabilidade a mina diretamente.
Esta vulnerabilidade foi divulgada em 2026-04-06. Não há evidências públicas de exploração ativa no momento. A ausência de um KEV listing indica uma probabilidade de exploração relativamente baixa, embora a facilidade de exploração possa mudar essa avaliação. Não há PoCs publicamente disponíveis no momento.
Organizations using self-hosted Bulwark Webmail instances, particularly those with limited security expertise or those who have not implemented robust email security practices, are at significant risk. Shared hosting environments where multiple users share a single Bulwark Webmail instance are also particularly vulnerable, as a compromise of one user's account could potentially expose all users.
• php: Examine Bulwark Webmail configuration files for settings related to S/MIME verification. Look for checkChain: false or similar configurations that disable certificate chain validation.
<?php
// Example: Check for the presence of this setting in the configuration file
$config_file = '/path/to/bulwark/config.php';
$content = file_get_contents($config_file);
if (strpos($content, 'checkChain: false') !== false) {
echo 'Potential vulnerability detected!';
}
?>disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
A correção primária para esta vulnerabilidade é atualizar o Bulwark Webmail para a versão 1.4.11 ou superior. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Embora não eliminem completamente o risco, podem reduzir a superfície de ataque. Implemente regras de firewall para restringir o acesso ao Bulwark Webmail apenas a fontes confiáveis. Monitore logs do servidor em busca de atividades suspeitas, como e-mails com assinaturas S/MIME de certificados desconhecidos. Após a atualização, verifique a configuração do servidor de e-mail para garantir que a validação da cadeia de certificados esteja habilitada e configurada corretamente.
Atualize o Bulwark Webmail para a versão 1.4.11 ou posterior para corrigir a vulnerabilidade. Esta versão valida corretamente a cadeia de confiança do certificado S/MIME, evitando que as assinaturas de e-mail com certificados autoassinados ou não confiáveis sejam consideradas válidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35389 descreve uma falha no Bulwark Webmail onde a verificação de assinatura S/MIME não valida a cadeia de confiança do certificado, permitindo que e-mails com certificados não confiáveis sejam considerados válidos.
Se você estiver usando o Bulwark Webmail nas versões 1.4.0 a 1.4.10, você está afetado por esta vulnerabilidade. Atualize para a versão 1.4.11 para corrigir o problema.
A correção é atualizar o Bulwark Webmail para a versão 1.4.11 ou superior. Se a atualização imediata não for possível, implemente medidas de mitigação temporárias, como regras de firewall e monitoramento de logs.
Atualmente, não há evidências públicas de exploração ativa desta vulnerabilidade, mas a facilidade de exploração pode mudar essa avaliação.
Consulte o site oficial do Bulwark Webmail ou o repositório de código para obter o advisory e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.