【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞，建议立即升级防护！

原创 52 易云安全应急响应中心 2025-04-11 07:28

漏洞预警

共/筑/网/络/安/全

1、漏洞描述

近日，易云科技监测到一则Foxmail邮件客户端跨站脚本攻击
漏洞。

Foxmail是我国知名电子邮件客户端之一，其上市时间自1997年第一版公测开始至今已28年，Foxmail电子邮件客户端在2005年3月16日被腾讯公司收购，由腾讯公司运行维护，支持 Windows 和 macOS 操作系统。

1.漏洞编号：
QVD-2025-13936 ,
CNVD-2025-06036

2.发现时间：2025-4-11

3.漏洞类型：跨站脚本

4.漏洞等级：高危

5.PoC/EXP：未公开

6.在野利用：是

2、漏洞危害

攻击者可利用该漏洞构造包含恶意指令代码的电子邮件，受害者在使用Foxmail打开浏览电子邮件时，无需额外点击，恶意指令代码即被用户主机加载并执行，继而主机终端即被控，具有较高的攻击隐蔽性。该漏洞利用方式简单且具备规模化利用的条件，建议受影响用户尽快修复。

3、受影响版本

受漏洞影响的软件版本为：

version<7.2.25.374 (windows)

4、处置建议

针对此漏洞,腾讯公司已紧急发布新版本修复该漏洞，建议受影响的单位和用户立即将Foxmail升级至最新版本：

https://www.foxmail.com/

鉴于攻击者常通过社会工程学手段（如伪装邮件标题、内容或附件）诱导用户点击，特别提醒用户：
不要打开
无法确认发件人身份或内容等来源不明的邮件，
做好相关安全防范措施
。

5、参考链接

https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg

声明告知

本文仅供技术分享之用，请勿进行任何非法测试。对于因传播和利用本公众号”易云安全应急响应中心”所提供的信息而导致的后果和损失，使用者将承担全部责任。本公众号及作者对此不承担任何法律责任。如有侵权，请及时告知，我们将立即删除并致以诚挚的歉意。

END

淮安易云科技有限公司-网络安全部****

我们致力于保障客户的网络安全，监控事件并采取适当措施，设计和实施安全策略，维护设备和软件，进行漏洞扫描和安全审计,团队协调处理网络攻击、数据泄露等安全事故，并负责安全服务项目实施，包括风险评估、渗透测试、安全扫描、安全加固、应急响应、攻防演练、安全培训等服务，确保客户在网络空间中的安全。

易云安全应急响应中心

专业的信息安全团队，给你最安全的保障。定期推送
漏洞预警、技术分享文章和网络安全知识，让各位了解学习安全知识，普及安全知识、提高安全意识。

扫描二维码

获取更多精彩

欢迎关注我们

往期推荐

在看

近期文章