Bulwark Webmail is a self-hosted webmail client for Stalwart Mail Server. Prior to 1.4.11, the getClientIP() function in lib/admin/session.ts trusted the first (leftmost) entry of the X-Forwarded-For header, which is fully controlled by the client. An attacker could forge their source IP address to bypass IP-based rate limiting (enabling brute-force attacks against the admin login) or forge audit log entries (making malicious activity appear to originate from arbitrary IP addresses). This vulnerability is fixed in 1.4.11.
Bulwark Webmail versions prior to 1.4.11 contain an IP spoofing vulnerability in the getClientIP() function that trusts the X-Forwarded-For header without validation. Attackers can bypass IP-based rate limiting on admin login and forge audit log entries to conceal malicious activity.
تحتوي ثغرة CVE-2026-35391 على عيب في معالجة رأس X-Forwarded-For في Bulwark Webmail حيث يتم الوثوق بالإدخال الأول دون التحقق من صحته. يمكن للمهاجمين استغلال هذا لتجاوز حماية معدل الوصول على صفحة تسجيل الدخول الإدارية وتنفيذ هجمات القوة الغاشمة. كما يمكنهم تزييف سجلات التدقيق لإخفاء أنشطتهم الضارة.
إصدارات Bulwark Webmail السابقة للإصدار 1.4.11 تحتوي على ثغرة تزييف عنوان IP في دالة getClientIP() التي تثق برأس X-Forwarded-For دون التحقق. يمكن للمهاجمين تجاوز تحديد معدل الوصول المستند إلى IP وتزييف إدخالات سجل التدقيق.
Upgrade Bulwark Webmail to version 1.4.11 or later immediately. Implement proper X-Forwarded-For header validation by trusting only the rightmost IP address from a known proxy or implementing a whitelist of trusted proxy servers. Deploy Web Application Firewall (WAF) rules to detect and block suspicious X-Forwarded-For header patterns. Review and strengthen IP-based rate limiting mechanisms with additional authentication factors.
قم بترقية Bulwark Webmail إلى الإصدار 1.4.11 أو أحدث على الفور. قم بتنفيذ التحقق الصحيح من رأس X-Forwarded-For بالثقة فقط في عنوان IP الأيمن من وكيل معروف أو تنفيذ قائمة بيضاء لخوادم الوكيل الموثوقة. قم بنشر قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن أنماط رأس X-Forwarded-For المريبة وحظرها. راجع وقوّي آليات تحديد معدل الوصول المستندة إلى IP باستخدام عوامل مصادقة إضافية.