2025年3月20日,国家信息安全漏洞共享平台(CNVD)监测到Foxmail邮件客户端存在跨站脚本攻击漏洞(编号:CNVD-2025-06036)。该漏洞被攻击者利用后,可通过发送含恶意代码的邮件实现远程攻击,用户仅需浏览邮件即可触发木马植入,导致主机被非法控制。目前,该漏洞已被证实处于被利用状态,腾讯公司已发布新版本完成修复,CNVD建议受影响用户尽快升级至最新版本。
一、漏洞核心分析
Foxmail作为国内主流邮件客户端,自1997年推出首版以来已运营28年,2005年被腾讯收购后持续维护。此次漏洞源于邮件正文加载过程中对危险内容的过滤机制存在缺陷,攻击者可通过构造特定格式的恶意邮件,在用户无交互操作的情况下直接执行恶意代码,攻击过程隐蔽性极高。后续攻击者还可借助其他漏洞组合,进一步实现未授权的木马植入与权限控制。
经综合评估,CNVD将该漏洞风险等级定为“中危”。
二、受影响范围
受漏洞影响的软件版本为:
Foxmail 7.2.25以下版本
三、修复与防护建议
腾讯已于3月28日紧急发布修复版本,用户可去官方网站升级至最新版。
鉴于攻击者常通过社会工程学手段(如伪装邮件标题、内容或附件)诱导用户点击,CNVD特别提醒:警惕无法确认发件人身份或内容等来源不明的邮件。
本公众号所发布的文章皆源自于互联网转载或作者投稿并授予的原创作品,文章末尾有详细出处标注,其内含内容及图片之版权均属于原网站或作者本人,本公众号对此不持立场,若发现有非故意侵权或转载失当之处,敬请随时联系我们进行妥善处理!文章来源:https://https://www.cnvd.org.cn/webinfo/show/11126
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照