通过这处漏洞，攻击者可以在电子邮件中植入JavaScript恶意代码。用户只要收到并打开邮件就会中招，这些恶意代码执行之后，攻击者可以彻底破解雅虎邮箱账户，修改设定，将受害者的邮件发送或转发到攻击者的服务器，受害者却对此一无所知。这次漏洞主要是由于雅虎HTML邮件过滤机制存在问题，存在问题的特定HTML代码可以通过雅虎的过滤机制。

安全漏洞披露平台HackerOne向雅虎告知这一漏洞之后，雅虎迅速于一月初修复了这一漏洞。通过HackerOne披露这一漏洞的加州网络安全专家也获得雅虎1万美元的奖励，这位专家表示，这处漏洞还未被用于攻击任何用户就已经被补上了。(来源：网易科技)