Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Thunderbird (CVE-2025-3932)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2025
Última modificación:
05/06/2025

Descripción

Se pudo crear un correo electrónico que mostraba un enlace de seguimiento como archivo adjunto. Si el usuario intentaba abrirlo, Thunderbird accedía automáticamente al enlace. La configuración para bloquear contenido remoto no lo impidió. Se ha corregido Thunderbird para que ya no permita el acceso a las páginas web que aparecen en el encabezado X-Mozilla-External-Attachment-URL de un correo electrónico. Esta vulnerabilidad afecta a Thunderbird (versión anterior a la 128.10.1) y Thunderbird (versión anterior a la 138.0.1).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 128.10.1 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 129.0 (incluyendo) 138.0.1 (excluyendo)