关键漏洞信息 漏洞概述 公告日期: 2025年3月13日 影响: 高 产品: Thunderbird 修复版本: Thunderbird 128.10.1 CVE-2025-3875: 发件人伪造通过Thunderbird中的畸形From头 报告者: xh4vm 影响: 高 描述: Thunderbird解析地址的方式可能导致发件人伪造,如果服务器允许使用无效的From地址。例如,如果From头包含一个无效值“Spoofed Name spoofed@example.com ”,Thunderbird会将spoofed@example.com视为实际地址。 CVE-2025-3877: 未经请求的文件下载、磁盘空间耗尽和通过mailbox:///链接的凭证泄露 报告者: Dario Weißer 影响: 高 描述: 通过crafted HTML邮件使用mailbox:///链接可以触发自动、未经请求的.pdf文件下载到用户的桌面或主目录,无需提示,即使自动保存功能被禁用。这可能导致磁盘空间耗尽或泄露Windows凭证,当邮件以HTML模式查看时。用户交互要求下载.pdf文件,但视觉混淆可以隐藏下载触发器。 CVE-2025-3909: 通过伪造PDF附件和file:///链接执行JavaScript 报告者: Dario Weißer 影响: 高 描述: Thunderbird处理X-Mozilla-External-Attachment-URL头的方式可以被利用在file:///上下文中执行JavaScript。通过嵌套电子邮件附件(message/fc822)并将其内容类型设置为application/pdf,Thunderbird可以将附件解释为HTML,允许嵌入的JavaScript在没有要求下载的情况下运行。这种行为依赖于Thunderbird自动保存附件到/tmp并通过file:///协议加载它,潜在地使JavaScript作为HTML的一部分执行。 CVE-2025-3932: 附件中的跟踪链接绕过远程内容阻止 报告者: Dario Weißer 影响: 低 描述: 可以制作一封显示跟踪链接作为附件的邮件。如果用户尝试打开附件,Thunderbird会自动访问该链接。阻止远程内容的配置无法防止这种情况。Thunderbird已修复为不再允许访问电子邮件中X-Mozilla-External-Attachment-URL头列出的网页。