关键漏洞信息 漏洞概述 公告日期: 2025年3月13日 影响: 高 产品: Thunderbird 修复版本: Thunderbird 138.0.1 CVE-2025-3875: 发件人伪造通过Thunderbird中的畸形From头 报告者: xh4vm 影响: 高 描述: Thunderbird解析地址的方式可能导致发件人伪造,如果服务器允许使用无效的From地址。例如,如果From头包含一个无效值“Spoofed Name spoofed@example.com ”,Thunderbird会将spoofed@example.com视为实际地址。 CVE-2025-3877: 未请求的文件下载、磁盘空间耗尽和通过mailbox:///链接的凭据泄露 报告者: Dario Weißer 影响: 高 描述: 使用mailbox:///链接的精心制作的HTML电子邮件可以在用户桌面或主目录中触发自动、未请求的.pdf文件下载,即使自动保存功能已禁用。这可能导致磁盘空间耗尽或在Windows上通过垃圾数据(如/user/desktop/random)泄露凭据。当以HTML模式查看电子邮件时,需要用户交互才能下载.pdf文件,但视觉混淆可以隐藏下载触发器。 CVE-2025-3909: 通过伪造的PDF附件和file:///链接执行JavaScript 报告者: Dario Weißer 影响: 高 描述: Thunderbird处理X-Mozilla-External-Attachment-URL头的方式可以被利用,在file:///上下文中执行JavaScript。通过嵌套电子邮件附件(message/rfc822)并将其内容类型设置为application/pdf,Thunderbird可能会将附件解释为HTML,打开后允许嵌入的JavaScript在没有要求下载的情况下运行。这种行为依赖于Thunderbird自动将附件保存到/tmp并通过file:///协议加载它,从而潜在地启用作为HTML一部分的JavaScript执行。 CVE-2025-3932: 附件中的跟踪链接绕过了远程内容阻止 报告者: Dario Weißer 影响: 低 描述: 可能创建一封显示跟踪链接作为附件的电子邮件。如果用户尝试打开附件,Thunderbird会自动访问该链接。阻止远程内容的配置无法防止这种情况。Thunderbird已被修复为不再允许访问电子邮件的X-Mozilla-External-Attachment-URL头中列出的网页。