2025年3月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）監(jiān)測(cè)到Foxmail郵件客戶端存在跨站腳本攻擊漏洞（編號(hào)：CNVD-2025-06036）。該漏洞被攻擊者利用后，可通過發(fā)送含惡意代碼的郵件實(shí)現(xiàn)遠(yuǎn)程攻擊，用戶僅需瀏覽郵件即可觸發(fā)木馬植入，導(dǎo)致主機(jī)被非法控制。目前，該漏洞已被證實(shí)處于被利用狀態(tài)，騰訊公司已發(fā)布新版本完成修復(fù)，CNVD建議受影響用戶盡快升級(jí)至最新版本。

一、漏洞核心分析

Foxmail作為國(guó)內(nèi)主流郵件客戶端，自1997年推出首版以來已運(yùn)營(yíng)28年，2005年被騰訊收購(gòu)后持續(xù)維護(hù)。此次漏洞源于郵件正文加載過程中對(duì)危險(xiǎn)內(nèi)容的過濾機(jī)制存在缺陷，攻擊者可通過構(gòu)造特定格式的惡意郵件，在用戶無交互操作的情況下直接執(zhí)行惡意代碼，攻擊過程隱蔽性極高。后續(xù)攻擊者還可借助其他漏洞組合，進(jìn)一步實(shí)現(xiàn)未授權(quán)的木馬植入與權(quán)限控制。

經(jīng)綜合評(píng)估，CNVD將該漏洞風(fēng)險(xiǎn)等級(jí)定為“中?！薄?/p>

二、受影響范圍

受漏洞影響的軟件版本為：

Foxmail 7.2.25以下版本

三、修復(fù)與防護(hù)建議

騰訊已于3月28日緊急發(fā)布修復(fù)版本，用戶可去官方網(wǎng)站升級(jí)至最新版。

鑒于攻擊者常通過社會(huì)工程學(xué)手段（如偽裝郵件標(biāo)題、內(nèi)容或附件）誘導(dǎo)用戶點(diǎn)擊，CNVD特別提醒：警惕無法確認(rèn)發(fā)件人身份或內(nèi)容等來源不明的郵件。

本公眾號(hào)所發(fā)布的文章皆源自于互聯(lián)網(wǎng)轉(zhuǎn)載或作者投稿并授予的原創(chuàng)作品，文章末尾有詳細(xì)出處標(biāo)注，其內(nèi)含內(nèi)容及圖片之版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若發(fā)現(xiàn)有非故意侵權(quán)或轉(zhuǎn)載失當(dāng)之處，敬請(qǐng)隨時(shí)聯(lián)系我們進(jìn)行妥善處理！文章來源：https://https://www.cnvd.org.cn/webinfo/show/11126

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明