CVE-2026-35389 描述了 Bulwark Webmail 在 S/MIME 签名验证过程中存在的缺陷。由于未正确验证证书信任链,攻击者可以欺骗系统,将使用自签名或不受信任证书签名的电子邮件显示为具有有效的签名。此漏洞影响 Bulwark Webmail 1.4.0 到 1.4.10 的版本,已在 1.4.11 版本中修复。
此漏洞允许攻击者伪造电子邮件签名,从而可能导致用户接收到欺骗性电子邮件,并相信其来自可信的发件人。攻击者可以利用此漏洞进行钓鱼攻击,窃取敏感信息,或传播恶意软件。由于 Bulwark Webmail 通常用于内部通信,因此此漏洞可能导致内部网络的安全风险增加。攻击者可以冒充公司内部人员发送虚假邮件,诱导用户泄露密码或其他敏感信息,进而可能导致数据泄露或系统入侵。
该漏洞已公开披露,且修复程序已发布。目前尚无公开的利用程序,但由于漏洞的严重性和易于利用性,预计未来可能会出现利用程序。建议尽快采取缓解措施,以降低风险。该漏洞尚未被添加到 CISA KEV 目录。
Organizations using self-hosted Bulwark Webmail instances, particularly those with limited security expertise or those who have not implemented robust email security practices, are at significant risk. Shared hosting environments where multiple users share a single Bulwark Webmail instance are also particularly vulnerable, as a compromise of one user's account could potentially expose all users.
• php: Examine Bulwark Webmail configuration files for settings related to S/MIME verification. Look for checkChain: false or similar configurations that disable certificate chain validation.
<?php
// Example: Check for the presence of this setting in the configuration file
$config_file = '/path/to/bulwark/config.php';
$content = file_get_contents($config_file);
if (strpos($content, 'checkChain: false') !== false) {
echo 'Potential vulnerability detected!';
}
?>disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 Bulwark Webmail 1.4.11 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的电子邮件安全策略,教育用户识别可疑电子邮件,并仔细检查发件人的身份。此外,可以配置邮件服务器,拒绝所有使用自签名或不受信任证书签名的电子邮件。升级后,请验证签名验证功能是否正常工作,确保所有邮件都经过正确的证书验证。
升级 Bulwark Webmail 至 1.4.11 或更高版本以修复此漏洞。此版本正确验证 S/MIME 证书的信任链,防止使用自签名或不受信任证书的电子邮件签名被认为是有效的。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35389 描述了 Bulwark Webmail 在 S/MIME 签名验证过程中存在的缺陷,导致未验证证书信任链,攻击者可以伪造邮件签名。
如果您的 Bulwark Webmail 版本低于 1.4.11,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到 Bulwark Webmail 1.4.11 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现利用程序。
请访问 Bulwark Webmail 官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复说明。