Amazon Linux 2: thunderbird (ALAS-2025-2859)

high Nessus 插件 ID 237468

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 128.10.1-1。因此，该软件受到 ALAS2-2025-2859 公告中提及的多个漏洞影响。

Thunderbird 解析地址的方式可在服务器允许使用无效的发件人地址时允许伪造发件人。例如如果“发件人”标头包含无效值欺骗名称 Thunderbird 会将 [email protected] 视为实际地址。此漏洞会影响 Thunderbird < 128.10.1 和 Thunderbird < 138.0.1。(CVE-2025-3875)

使用 Mailbox:/// 链接的特制 HTML 电子邮件可以在未经请求的情况下自动将 .pdf 文件下载到用户的桌面或主目录而不提示即使自动保存已禁用。当在 HTML 模式下查看电子邮件时，可滥用此行为通过 SMB 链接以垃圾数据填满磁盘（例如使用 Linux 上的 /dev/urandom）或泄漏 Windows 凭据。虽然下载 .pdf 文件需要用户交互，但可视化混淆可隐藏下载触发程序。在 HTML 模式下查看电子邮件足以加载外部内容。此漏洞会影响 Thunderbird < 128.10.1 和 Thunderbird < 138.0.1。(CVE-2025-3877)

可利用 Thunderbird 对 X-Mozilla-External-Attachment-URL 标头的处理在 file:/// 上下文中执行 JavaScript。通过特制嵌套的电子邮件附件 (message/rfc822) 并将其内容类型设置为 application/pdf，Thunderbird 可能会在打开时错误地将其渲染为 HTML，从而使嵌入式 JavaScript 在不下载文件的情况下运行。此行为依赖于 Thunderbird 自动将附件保存到 /tmp 并通过 file:/// 协议链接可能启用 JavaScript 作为 HTML 的一部分执行。此漏洞会影响 Thunderbird < 128.10.1 和 Thunderbird < 138.0.1。(CVE-2025-3909)

可能构建一封电子邮件将跟踪链接显示为附件。如果用户尝试打开附件，Thunderbird 会自动访问该链接。阻止远程内容的配置无法阻止该情况。Thunderbird 已修复不再允许访问列于电子邮件 X-Mozilla-External-Attachment-URL 标头中的网页。此漏洞会影响 Thunderbird < 128.10.1 和 Thunderbird < 138.0.1。(CVE-2025-3932)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。