Aufgrund mehrerer Sicherheitslücken ist Thunderbird verwundbar und gefährdet Computer. Eine aktuelle Version mit Sicherheitsupdates schließt die Schwachstellen. Insgesamt wird der Bedrohungsgrad als „hoch“ eingestuft. Mozilla schreibt in einer Warnmeldung, dass Angreifer beispielsweise mit präparierten XSLT Stylesheets aus der iFrame-Sandbox ausbrechen könnten, umso etwa eigene Skripte auszuführen (CVE-2021-38503 „hoch“). Außerdem könnten Angreifer durch das Ausnutzen weiterer Lücken DoS-Zustande auslösen und Software crashen lassen. Der Großteil der Sicherheitslücken betrifft auch die kürzlich ebenfalls abgesicherten Webbrowser Firefox und Firefox ESR aus gleichem Haus. Die Entwickler geben an, die Schwachstellen in Thunderbird 91.3 geschlossen zu haben.