Bulwark Webmail getClientIP() 函数信任客户端控制的 X-Forwarded-For 值，允许速率限制绕过和审计日志伪造

Bulwark Webmail 中的 CVE-2026-35391 允许攻击者伪造其原始 IP 地址。这是因为 lib/admin/session.ts 中的 getClientIP() 函数信任 X-Forwarded-For 标头的第一个条目，而该条目完全由客户端控制。这种篡改可以绕过基于 IP 的速率限制，从而促进对管理员登录的暴力破解攻击。此外，审计日志条目可以被伪造，使恶意活动看起来像是来自任意 IP 地址，从而难以检测和调查事件。此漏洞的严重性在于其可能危及管理面板的安全性以及系统日志的完整性。

Organizations running Bulwark Webmail in environments where the X-Forwarded-For header is not properly validated or sanitized are at risk. This includes deployments behind reverse proxies or load balancers that may be forwarding client-controlled IP addresses. Shared hosting environments where multiple webmail instances share the same IP address are also particularly vulnerable.

• nodejs / server:

  grep -r "getClientIP()" /opt/bulwark-webmail/

• generic web:

  curl -I <webmail_url>/admin/login -H "X-Forwarded-For: 1.2.3.4" | grep "X-Forwarded-For"

• generic web:

  tail -f /var/log/nginx/access.log | grep "X-Forwarded-For"

1. 2026-04-06Disclosure

   disclosure

1. 已保留2026-04-02
2. 发布日期2026-04-06
3. 修改日期2026-04-07
4. EPSS 更新日期2026-04-14

CVE-2026-35391 的解决方案是将 Bulwark Webmail 更新到 1.4.11 或更高版本。此版本通过在用于确定客户端 IP 地址之前正确验证和清理 X-Forwarded-For 标头来修复漏洞。强烈建议尽快应用此更新以降低攻击风险。此外，请审查和加强与管理员访问和日志管理相关的安全策略，包括为管理员面板实施多因素身份验证 (MFA)。