CVE-2026-35390

Name of the Vulnerable Software and Affected Versions Bulwark Webmail versões anteriores a 1.4.11

Description Bulwark Webmail, um cliente de webmail auto-hospedado para Stalwart Mail Server, foi afetado por um problema onde o proxy reverso (proxy.ts) definiu incorretamente o cabeçalho Content-Security-Policy-Report-Only em vez do cabeçalho Content-Security-Policy de aplicação. Isso permitiu que ataques de scripting entre sites (XSS) fossem registrados sem serem bloqueados. Um invasor que pudesse injetar conteúdo de script, como por meio de HTML de e-mail criado, poderia executar JavaScript arbitrário no contexto do aplicativo, potencialmente levando ao roubo de tokens de sessão ou ações não autorizadas realizadas em nome do usuário.

Recommendations Atualize o Bulwark Webmail para a versão 1.4.11 ou posterior.