2025年3月20日，國家信息安全漏洞共享平臺（CNVD）監測到Foxmail郵件客戶端存在跨站腳本攻擊漏洞（編號：CNVD-2025-06036）。該漏洞被攻擊者利用后，可通過發送含惡意代碼的郵件實現遠程攻擊，用戶僅需瀏覽郵件即可觸發木馬植入，導致主機被非法控制。目前，該漏洞已被證實處于被利用狀態，騰訊公司已發布新版本完成修復，CNVD建議受影響用戶盡快升級至最新版本。

一、漏洞核心分析

Foxmail作為國內主流郵件客戶端，自1997年推出首版以來已運營28年，2005年被騰訊收購后持續維護。此次漏洞源于郵件正文加載過程中對危險內容的過濾機制存在缺陷，攻擊者可通過構造特定格式的惡意郵件，在用戶無交互操作的情況下直接執行惡意代碼，攻擊過程隱蔽性極高。后續攻擊者還可借助其他漏洞組合，進一步實現未授權的木馬植入與權限控制。

經綜合評估，CNVD將該漏洞風險等級定為“中危”。

二、受影響范圍

受漏洞影響的軟件版本為：

Foxmail 7.2.25以下版本

三、修復與防護建議

騰訊已于3月28日緊急發布修復版本，用戶可去官方網站升級至最新版。

鑒于攻擊者常通過社會工程學手段（如偽裝郵件標題、內容或附件）誘導用戶點擊，CNVD特別提醒：警惕無法確認發件人身份或內容等來源不明的郵件。

本公眾號所發布的文章皆源自于互聯網轉載或作者投稿并授予的原創作品，文章末尾有詳細出處標注，其內含內容及圖片之版權均屬于原網站或作者本人，本公眾號對此不持立場，若發現有非故意侵權或轉載失當之處，敬請隨時聯系我們進行妥善處理！文章來源：https://https://www.cnvd.org.cn/webinfo/show/11126

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明