Vulnerabilities ›

CVE-2026-35391

High

CWE-348 — Weakness Type

                    Published: Apr 6, 2026                      ·  Modified: Apr 13, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Bulwark Webmail is a self-hosted webmail client for Stalwart Mail Server. Prior to 1.4.11, the getClientIP() function in lib/admin/session.ts trusted the first (leftmost) entry of the X-Forwarded-For header, which is fully controlled by the client. An attacker could forge their source IP address to bypass IP-based rate limiting (enabling brute-force attacks against the admin login) or forge audit log entries (making malicious activity appear to originate from arbitrary IP addresses). This vulnerability is fixed in 1.4.11.

🤖 AI Executive Summary

Bulwark Webmail versions prior to 1.4.11 contain an IP spoofing vulnerability in the getClientIP() function that trusts the X-Forwarded-For header without validation. Attackers can bypass IP-based rate limiting on admin login and forge audit log entries to conceal malicious activity.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-35391 على عيب في معالجة رأس X-Forwarded-For في Bulwark Webmail حيث يتم الوثوق بالإدخال الأول دون التحقق من صحته. يمكن للمهاجمين استغلال هذا لتجاوز حماية معدل الوصول على صفحة تسجيل الدخول الإدارية وتنفيذ هجمات القوة الغاشمة. كما يمكنهم تزييف سجلات التدقيق لإخفاء أنشطتهم الضارة.

🤖 ملخص تنفيذي (AI)

إصدارات Bulwark Webmail السابقة للإصدار 1.4.11 تحتوي على ثغرة تزييف عنوان IP في دالة getClientIP() التي تثق برأس X-Forwarded-For دون التحقق. يمكن للمهاجمين تجاوز تحديد معدل الوصول المستند إلى IP وتزييف إدخالات سجل التدقيق.

🤖 AI Intelligence Analysis Analyzed: May 2, 2026 19:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1110.001 T1578 T1562.002 T1021.001

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Bulwark Webmail to version 1.4.11 or later immediately. Implement proper X-Forwarded-For header validation by trusting only the rightmost IP address from a known proxy or implementing a whitelist of trusted proxy servers. Deploy Web Application Firewall (WAF) rules to detect and block suspicious X-Forwarded-For header patterns. Review and strengthen IP-based rate limiting mechanisms with additional authentication factors.

🔧 خطوات المعالجة (العربية)

قم بترقية Bulwark Webmail إلى الإصدار 1.4.11 أو أحدث على الفور. قم بتنفيذ التحقق الصحيح من رأس X-Forwarded-For بالثقة فقط في عنوان IP الأيمن من وكيل معروف أو تنفيذ قائمة بيضاء لخوادم الوكيل الموثوقة. قم بنشر قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن أنماط رأس X-Forwarded-For المريبة وحظرها. راجع وقوّي آليات تحديد معدل الوصول المستندة إلى IP باستخدام عوامل مصادقة إضافية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.3.1

🔵 SAMA CSF

AC-3 AC-4 AU-2 AU-12

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.12.4.1 A.12.4.3

🔗 References & Sources 1

🔗

https://github.com/bulwarkmail/webmail/security/advisories/GHSA-7pj2-232x-6698

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

bulwarkmail:webmail

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-348

EPSS0.02%

Exploit No

Patch ✗ No

Published 2026-04-06

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-348

🏢 Vendor Advisories

🔗 https://github.com/bulwarkmail/webmail/security/advi...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-35391

💬 Comments

Introduce Yourself

Sign In Required