When an email contains multiple attachments with external links via the X-Mozilla-External-Attachment-URL header, only the last link is shown when hovering over any attachment. Although the correct link is used on click, the misleading hover text could trick users into downloading content from untrusted sources. This vulnerability was fixed in Thunderbird 137.0.2 and Thunderbird 128.9.2.

Cuando un correo electrónico contiene varios archivos adjuntos con enlaces externos mediante el encabezado X-Mozilla-External-Attachment-URL, solo se muestra el último enlace al pasar el cursor sobre cualquier archivo adjunto. Aunque se usa el enlace correcto al hacer clic, el texto engañoso al pasar el cursor podría inducir a los usuarios a descargar contenido de fuentes no confiables. Esta vulnerabilidad afecta a Thunderbird (versión anterior a la 137.0.2) y Thunderbird (versión anterior a la 128.9.2).