Plataforma
windows
Componente
autodesk-fusion
Corregido en
2702.1.47
El CVE-2026-4344 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Autodesk Fusion. Un atacante puede inyectar código malicioso a través de nombres de componentes, que se ejecuta cuando un usuario confirma la eliminación. Esta vulnerabilidad afecta a las versiones 2606.0 hasta 2702.1.46 de Autodesk Fusion y se ha solucionado en la versión 2702.1.47.
Esta vulnerabilidad de XSS almacenado permite a un atacante ejecutar código JavaScript arbitrario en el contexto del usuario que interactúa con el diálogo de confirmación de eliminación. El atacante podría, por ejemplo, leer archivos locales del sistema del usuario, robar credenciales almacenadas en el navegador o redirigir al usuario a sitios web maliciosos. El impacto se amplifica si el usuario afectado tiene privilegios administrativos dentro de Autodesk Fusion, lo que podría permitir al atacante comprometer la integridad de los datos y la configuración de la aplicación. Aunque no se han reportado explotaciones activas, la facilidad de explotación y el potencial impacto hacen de esta vulnerabilidad una preocupación significativa.
El CVE-2026-4344 fue publicado el 14 de abril de 2026. Actualmente no se encuentra listado en el KEV de CISA, ni se han reportado campañas de explotación activas. Sin embargo, la naturaleza de la vulnerabilidad XSS y la disponibilidad de herramientas para explotarla sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles indicadores de compromiso.
Users of Autodesk Fusion who rely on the delete confirmation dialog for managing components are at risk. Specifically, organizations with legacy Fusion deployments (versions 2606.0–2702.1.47) and those with users who frequently interact with component deletion processes are particularly vulnerable. Shared hosting environments where multiple users share the same Fusion installation could also amplify the impact of this vulnerability.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and Message -match 'Autodesk Fusion'"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for requests to Fusion endpoints containing unusual HTML or JavaScript code in component names. • generic web: Review Fusion application logs for errors or warnings related to HTML parsing or rendering.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2026-4344 es actualizar Autodesk Fusion a la versión 2702.1.47 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar controles de seguridad adicionales, como la validación estricta de todos los nombres de componentes ingresados por los usuarios. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en los nombres de los componentes. La monitorización de los registros de Autodesk Fusion en busca de patrones inusuales de actividad también puede ayudar a detectar posibles ataques.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. Descargue la última versión desde el sitio web oficial de Autodesk o a través de los canales de actualización de la aplicación. Esta actualización corrige la forma en que se manejan los nombres de componentes, evitando la ejecución de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4344 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0–2702.1.47, allowing malicious code execution via a crafted HTML payload in a component name.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47 and have not yet upgraded to a patched version.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve this XSS vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-4344, but the vulnerability remains a potential risk.
Refer to the official Autodesk security advisory for detailed information and updates regarding CVE-2026-4344: [https://www.autodesk.com/support/security-advisories]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.