国家信息安全漏洞共享平台（CNVD）披露了Foxmail邮件客户端的跨站脚本攻击漏洞（CNVD-2025-06036）。攻击者通过构造恶意邮件，诱使用户在Foxmail中打开，从而植入木马并控制用户主机。该漏洞影响Foxmail 7.2.25及以下版本，腾讯已发布新版本修复。CNVD建议用户立即升级至最新版本，并加强安全防范意识，警惕不明邮件。

📧 漏洞描述：Foxmail邮件客户端存在跨站脚本攻击漏洞，攻击者构造包含恶意代码的邮件，用户仅需打开邮件即可触发。

🎯 攻击方式：攻击者利用漏洞，在用户未授权的情况下实现木马文件本地写入和控制权限获取，具有较高的隐蔽性。

🛡️ 影响范围：漏洞影响Foxmail 7.2.25及以下版本，用户面临主机被控的风险。

✅ 修复建议：腾讯已发布新版本修复漏洞，用户应立即升级至最新版本以修复漏洞。

⚠️ 安全提示：用户应提高警惕，不要打开来历不明的邮件，做好安全防范措施。

安全公告编号：CNTA-2025-0007

2025年3月20日，国家信息安全漏洞共享平台（CNVD）收录了Foxmail邮件客户端跨站脚本攻击漏洞（CNVD-2025-06036）。攻击者利用该漏洞作为攻击入口，向目标用户对象发送包含恶意代码的电子邮件，用户仅浏览邮件即被植入木马，其主机终端即被控。目前，该漏洞已发现被利用进行攻击，厂商已发布新版本完成漏洞修复，CNVD建议受影响的单位和用户立即升级至最新版本。

一、漏洞情况分析

Foxmail是我国知名电子邮件客户端之一，其上市时间自1997年第一版公测开始至今已28年，Foxmail电子邮件客户端在2005年3月16日被腾讯公司收购，由腾讯公司运行维护。

2025年3月20日，国家信息安全漏洞共享平台（CNVD）收录了Foxmail邮件客户端跨站脚本攻击漏洞。由于Foxmail在处理加载邮件正文时，对危险内容的过滤处理逻辑存在缺陷，攻击者构造包含恶意指令代码的电子邮件向目标用户发送，目标用户仅需使用Foxmail打开恶意邮件，无需其他点击操作，恶意指令代码即可被用户主机加载执行，具有较高的攻击隐蔽性。攻击者继而利用其他漏洞，在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。

CNVD对该漏洞的综合评级为“中危”。

二、漏洞影响范围

漏洞影响的产品和版本：

Foxmail < 7.2.25

三、漏洞处置建议

3月28日，腾讯公司已紧急发布新版本修复该漏洞，CNVD建议受影响的单位和用户立即将Foxmail升级至最新版本：

https://www.foxmail.com/

攻击者通常使用社会工程学等手段，对恶意邮件的标题、内容及附件进行伪装，诱骗用户点击访问，CNVD建议用户做好安全防范措施，不要打开来历不明的邮件。

---

文章来源：CNVD漏洞平台

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

📍发表于：中国 北京

🔗️ 阅读原文