Bulwark Webmail getClientIP() 函数信任客户端控制的 X-Forwarded-For 值，允许速率限制绕过和审计日志伪造

Bulwark Webmail 是 Stalwart Mail Server 的一个自托管的 Webmail 客户端。在 1.4.11 版本之前，lib/admin/session.ts 中的 getClientIP() 函数信任 X-Forwarded-For 头部的第一个（最左侧）条目，该条目完全由客户端控制。攻击者可以伪造其源 IP 地址以绕过基于 IP 的速率限制（从而允许针对 admin 登录的暴力破解攻击）或伪造审计日志条目（使恶意活动看起来来自任意 IP 地址）。此漏洞在 1.4.11 版本中已修复。