一、 漏洞 CVE-2025-3932 基础信息
漏洞信息
# N/A
## 漏洞概述
可以构造一个显示跟踪链接作为附件的电子邮件。如果用户尝试打开该附件,Thunderbird 会自动访问该链接。阻止远程内容的配置无法防止这种情况。Thunderbird 已修复,不再允许访问电子邮件 X-Mozilla-External-Attachment-URL 头中的网页。
## 影响版本
- Thunderbird < 128.10.1
- Thunderbird < 138.0.1
## 漏洞细节
攻击者可以构造一个显示跟踪链接作为附件的电子邮件。当用户尝试打开该附件时,Thunderbird 会自动访问邮件 X-Mozilla-External-Attachment-URL 头中的链接,这会导致用户无意间访问恶意网站。
## 漏洞影响
该漏洞可能导致用户在不知情的情况下访问恶意网页,从而泄露个人信息或暴露于恶意软件攻击中。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
It was possible to craft an email that showed a tracking link as an attachment. If the user attempted to open the attachment, Thunderbird automatically accessed the link. The configuration to block remote content did not prevent that. Thunderbird has been fixed to no longer allow access to web pages listed in the X-Mozilla-External-Attachment-URL header of an email. This vulnerability affects Thunderbird < 128.10.1 and Thunderbird < 138.0.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Mozilla Thunderbird 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。 Mozilla Thunderbird 128.10.1之前版本和138.0.1之前版本存在安全漏洞,该漏洞源于跟踪链接可能被显示为附件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3932 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
