Plataforma
windows
Componente
autodesk-fusion
Corregido en
2702.1.47
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Autodesk Fusion, afectando versiones desde 2606.0 hasta 2702.1.47. Un atacante puede inyectar código malicioso en un nombre de diseño, que luego se exporta a un archivo CSV. La ejecución de este archivo CSV puede permitir al atacante leer archivos locales o incluso ejecutar código arbitrario en el contexto del proceso actual.
Esta vulnerabilidad XSS almacenado permite a un atacante comprometer la seguridad de un usuario de Autodesk Fusion. Al inyectar un payload HTML malicioso en un nombre de diseño, el atacante puede crear un archivo CSV que, al ser abierto, ejecute código JavaScript en el navegador de la víctima. Esto podría resultar en la exfiltración de información sensible almacenada en el sistema, como credenciales de usuario o datos de diseño confidenciales. Además, la capacidad de ejecutar código arbitrario abre la puerta a ataques más sofisticados, como la instalación de malware o el control remoto del sistema afectado. La superficie de ataque se amplía significativamente, ya que cualquier usuario que abra el archivo CSV malicioso se convierte en un posible objetivo.
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La disponibilidad de un payload XSS relativamente sencillo aumenta la probabilidad de que se descubran exploits públicos. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Autodesk Fusion a la versión 2702.1.47 o superior, que incluye la corrección para esta vulnerabilidad. Mientras tanto, como medida de mitigación, se recomienda revisar cuidadosamente todos los archivos CSV exportados antes de abrirlos, buscando patrones sospechosos o código HTML inesperado. Implementar políticas de seguridad que restrinjan la ejecución de scripts en archivos CSV también puede ayudar a reducir el riesgo. Se sugiere utilizar herramientas de análisis de seguridad para escanear archivos CSV en busca de posibles payloads maliciosos.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4345 is a Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion, allowing malicious code execution via a crafted HTML payload in a CSV export.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the official Autodesk security advisory for detailed information and updates: [https://www.autodesk.com/support/security-advisories]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.