一、漏洞情况分析

2025年3月20日，国家信息安全漏洞共享平台（CNVD）收录了Foxmail邮件客户端跨站脚本攻击漏洞。由于Foxmail在处理加载邮件正文时，对危险内容的过滤处理逻辑存在缺陷，攻击者构造包含恶意指令代码的电子邮件向目标用户发送，目标用户仅需使用Foxmail打开恶意邮件，无需其他点击操作，恶意指令代码即可被用户主机加载执行，具有较高的攻击隐蔽性。攻击者继而利用其他漏洞，在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。

二、漏洞影响范围

漏洞影响的产品和版本：Foxmail < 7.2.25

三、漏洞处置建议

已紧急发布新版本修复该漏洞，建议受影响的单位和用户立即将Foxmail升级至最新版本：

https://www.foxmail.com/

四、如何防范钓鱼邮件攻击

攻击者通常使用社会工程学等手段，对邮件的标题、内容及附件进行伪装，诱骗用户点击访问，建议用户做好安全防范措施，重点做好以下防范措施：

（一）重点防范含压缩文件的邮件附件，此类压缩包内往往隐藏着.exe 后缀的恶意程序，切勿随意解压运行；

（二）特别警惕主题涉及"员工奖惩""假期调休""薪酬调整""电子发票""密码过期"等敏感内容的邮件，此类邮件极易被不法分子利用实施钓鱼攻击；

（三）收到可疑邮件时，请务必仔细核实发件人邮箱地址及单位信息，建议通过官方渠道二次确认邮件内容真实性。