Plataforma
nodejs
Componente
bulwarkmail/webmail
Corrigido em
1.4.12
O Bulwark Webmail é um cliente de webmail auto-hospedado para o Stalwart Mail Server. Uma vulnerabilidade foi descoberta na versão 1.4.0 até a 1.4.10, onde a função getClientIP() confiava no primeiro valor do cabeçalho X-Forwarded-For, permitindo que atacantes falsificassem seus endereços IP. Isso pode levar a ataques de força bruta contra o login de administrador e à manipulação de registros de auditoria, tornando a atividade maliciosa aparentemente originária de endereços IP arbitrários. A correção para esta vulnerabilidade está disponível na versão 1.4.11.
A vulnerabilidade CVE-2026-35391 no Bulwark Webmail permite que um atacante falsifique seu endereço IP de origem. Isso ocorre porque a função getClientIP() em lib/admin/session.ts confia na primeira entrada do cabeçalho X-Forwarded-For, que é totalmente controlado pelo cliente. Essa manipulação pode contornar as limitações de taxa baseadas em IP, facilitando ataques de força bruta contra o login do administrador. Além disso, as entradas do log de auditoria podem ser falsificadas, fazendo com que atividades maliciosas pareçam originárias de endereços IP arbitrários, dificultando a detecção e a investigação de incidentes. A gravidade desta vulnerabilidade reside em seu potencial para comprometer a segurança do painel de administração e a integridade dos logs do sistema.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP com um cabeçalho X-Forwarded-For falsificado. O servidor Bulwark Webmail, confiando na primeira entrada deste cabeçalho, interpretará o endereço IP falsificado como o endereço IP real do cliente. Isso permitiria ao atacante evitar as restrições de taxa implementadas para proteger o login do administrador e manipular os logs de auditoria para ocultar suas atividades. A facilidade de manipulação do cabeçalho X-Forwarded-For torna esta vulnerabilidade relativamente fácil de explorar, mesmo para atacantes com conhecimentos técnicos limitados.
Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.
• nodejs / server:
grep -r "getClientIP()" /opt/bulwark-webmail/• generic web:
curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"• generic web:
tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A solução para CVE-2026-35391 é atualizar o Bulwark Webmail para a versão 1.4.11 ou posterior. Esta versão corrige a vulnerabilidade validando e higienizando adequadamente o cabeçalho X-Forwarded-For antes de usá-lo para determinar o endereço IP do cliente. Recomenda-se aplicar esta atualização o mais rápido possível para mitigar o risco de ataques. Além disso, revise e fortaleça as políticas de segurança relacionadas ao acesso administrativo e ao gerenciamento de logs, incluindo a implementação de autenticação multifator (MFA) para o painel de administração.
Actualice a la versión 1.4.11 o posterior para corregir la vulnerabilidad. Esta actualización corrige la forma en que se maneja el encabezado X-Forwarded-For, evitando que los atacantes falsifiquen direcciones IP y eviten las restricciones de velocidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um cabeçalho HTTP que contém o endereço IP do cliente original que fez a solicitação, quando a solicitação passa por um ou mais proxies ou balanceadores de carga.
A versão 1.4.11 corrige a vulnerabilidade validando corretamente o cabeçalho X-Forwarded-For, evitando a falsificação do endereço IP.
Se não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como o monitoramento dos logs de auditoria e a restrição do acesso ao painel de administração.
Sim, todas as instâncias do Bulwark Webmail que utilizarem versões anteriores a 1.4.11 são vulneráveis a este ataque.
Você pode encontrar mais informações sobre CVE-2026-35391 em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.