CVE-2020-27748

Una falla en xdg-email permite que atacantes agreguen secretamente archivos adjuntos a correos electrónicos mediante enlaces mailto: especialmente diseñados. Si un usuario hace clic en tal enlace y envía el correo sin notar el archivo adjunto oculto, información sensible podría divulgarse involuntariamente.

xdg-email maneja inadecuadamente URIs mailto: permitiendo que archivos arbitrarios se inyecten como anexos a través de parámetros URI al lanzar Thunderbird. Un atacante puede construir un enlace mailto: malicioso que, al ser hecho clic, adjunta silenciosamente archivos sensibles a un nuevo borrador de correo, resultando en divulgación de información si el usuario envía sin verificar los anexos.