Een kwetsbaarheid in e-mailclient Thunderbird maakt het mogelijk voor aanvallers om stilletjes pdf-bestanden op de desktop of in de home directory van gebruikers te plaatsen, ook als het automatisch opslaan van bestanden staat uitgeschakeld. Dit maakt het mogelijk om Windows-inloggegevens te stelen of de schijf met 'garbage data' te vullen. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen.

"Een speciaal geprepareerde HTML-mail die gebruikmaakt van mailbox:/// links kan het automatisch, ongevraagd downloaden triggeren van .pdf-bestanden op de desktop van de gebruiker of home directory, zonder prompt, zelfs als auto-saving staat uitgeschakeld", aldus de beschrijving van Thunderbird. Dit gedrag is vervolgens te misbruiken om de schijf met garbage data te vullen of via SMB-links Windows credentials te stelen als de mail in de HTML-mode van Thunderbird wordt bekeken.

"Hoewel interactie van de gebruiker is vereist om het .pdf-bestand te downloaden, kan visuele obfuscatie de download trigger verbergen. Het bekijken van de e-mail in HTML-mode is voldoende om externe content te laden", laat de beschrijving verder weten. De impact van de kwetsbaarheid (CVE-2025-5986) is als "High" bestempeld. Gebruikers wordt aangeraden om te updaten naar Thunderbird 139.0.2.