2025年3月20日，國家信息安全漏洞共享平臺（CNVD）收錄了Foxmail郵件客戶端跨站腳本攻擊漏洞（CNVD-2025-06036）。攻擊者利用該漏洞作為攻擊入口，向目標用戶對象發(fā)送包含惡意代碼的電子郵件，用戶僅瀏覽郵件即被植入木馬，其主機終端即被控。目前，該漏洞已發(fā)現(xiàn)被利用進行攻擊，廠商已發(fā)布新版本完成漏洞修復，CNVD建議受影響的單位和用戶立即升級至最新版本。

一、漏洞情況分析

Foxmail是我國知名電子郵件客戶端之一，其上市時間自1997年第一版公測開始至今已28年，Foxmail電子郵件客戶端在2005年3月16日被騰訊公司收購，由騰訊公司運行維護。

2025年3月20日，國家信息安全漏洞共享平臺（CNVD）收錄了Foxmail郵件客戶端跨站腳本攻擊漏洞。由于Foxmail在處理加載郵件正文時，對危險內容的過濾處理邏輯存在缺陷，攻擊者構造包含惡意指令代碼的電子郵件向目標用戶發(fā)送，目標用戶僅需使用Foxmail打開惡意郵件，無需其他點擊操作，惡意指令代碼即可被用戶主機加載執(zhí)行，具有較高的攻擊隱蔽性。攻擊者繼而利用其他漏洞，在未授權的前提下實現(xiàn)對目標主機的木馬文件本地寫入和控制權限獲取。

CNVD對該漏洞的綜合評級為“中危”。

二、漏洞影響范圍

漏洞影響的產(chǎn)品和版本：Foxmail < 7.2.25

三、漏洞處置建議

3月28日，騰訊公司已緊急發(fā)布新版本修復該漏洞，CNVD建議受影響的單位和用戶立即將Foxmail升級至最新版本：

https://www.foxmail.com/

攻擊者通常使用社會工程學等手段，對惡意郵件的標題、內容及附件進行偽裝，誘騙用戶點擊訪問，CNVD建議用戶做好安全防范措施，不要打開來歷不明的郵件。（轉于國家網(wǎng)絡安全宣傳周官網(wǎng)）