1. 漏洞背景

Foxmail 是由腾讯公司运营维护的、在中国广泛使用的知名电子邮件客户端之一。近日，国家信息安全漏洞共享平台（CNVD）收录并公告了一个影响 Foxmail 客户端的安全漏洞，编号为 CNVD-2025-06036 (对应安全公告编号 CNTA-2025-0007)。该漏洞允许攻击者通过特制的电子邮件在用户系统上执行恶意代码。

2. 漏洞详情

CNVD-2025-06036 是一个跨站脚本攻击（XSS）漏洞，被国家信息安全漏洞共享平台（CNVD）综合评级为“中危”。该漏洞源于 Foxmail 在处理和加载邮件正文时，对嵌入的危险内容过滤不充分。攻击者可以构造包含恶意脚本的电子邮件，当用户使用受影响版本的 Foxmail 打开（甚至仅预览）该邮件时，无需任何其他交互（如点击链接或附件），嵌入的恶意脚本即可在用户主机上执行。值得注意的是，该漏洞已被发现存在在野利用，攻击者可利用此漏洞作为攻击入口，结合其他手段可能导致木马植入和主机被控，具有较高的攻击隐蔽性。

目前受影响的版本为：

• Foxmail < 7.2.25

3. 漏洞影响

• 远程代码执行风险 ：用户打开恶意邮件即可能触发恶意代码执行，攻击者可能利用此漏洞：

• 植入木马、勒索软件等恶意程序。

• 窃取用户邮件内容、联系人信息、系统敏感数据等。

• 获取用户主机控制权，将其作为跳板进行进一步攻击。

• 高隐蔽性攻击 ：由于无需用户额外交互，攻击过程不易被察觉，增加了防御难度。

• 系统安全威胁 ：攻击者可利用此漏洞绕过常规的安全提醒，直接威胁用户终端系统的安全。

4. 处置建议

• 版本检查 ：

• 打开 Foxmail 客户端。

• 通常在“帮助”菜单下找到“关于 Foxmail”或类似选项。

• 查看并确认当前客户端版本号。

• 更新修复 ：

• 腾讯公司已于3月28日发布新版本修复该漏洞。

• 请立即将 Foxmail 客户端更新至 7.2.25 或更高版本。

• 官方下载/更新地址： https://www.foxmail.com/

• 安全加固 ：

• 保持警惕 ：不要随意打开来历不明的邮件。对邮件标题、发件人、内容进行审慎判断，特别是包含可疑链接或附件的邮件。警惕利用社会工程学进行伪装的恶意邮件。

• 使用安全软件 ：确保系统安装了可靠的杀毒软件和终端安全防护工具，并保持病毒库和程序为最新版本。

• 定期备份 ：对重要数据进行定期备份，以防遭受勒索软件等攻击。