Plataforma
windows
Componente
autodesk-fusion
Corregido en
2702.1.47
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Autodesk Fusion, afectando versiones desde 2606.0 hasta 2702.1.47. Un atacante puede inyectar un payload HTML malicioso en el nombre de una variante de ensamblaje, que al ser mostrado en el diálogo de confirmación de eliminación y clickeado por un usuario, puede desencadenar la ejecución de código arbitrario. La vulnerabilidad ha sido publicada el 14 de abril de 2026 y se ha solucionado en la versión 2702.1.47.
Esta vulnerabilidad de XSS permite a un atacante ejecutar código JavaScript malicioso en el contexto del usuario que interactúa con Autodesk Fusion. El atacante podría, por ejemplo, robar información sensible almacenada localmente, como credenciales o datos de proyectos. Además, la ejecución de código arbitrario podría permitir al atacante modificar archivos, instalar malware o incluso obtener control sobre el sistema. El impacto se amplifica si el usuario afectado tiene privilegios administrativos en el sistema, lo que permitiría al atacante comprometer toda la máquina. Aunque no se ha reportado explotación activa, la naturaleza de la vulnerabilidad la convierte en un objetivo atractivo para atacantes.
La vulnerabilidad CVE-2026-4369 se publicó el 14 de abril de 2026. Actualmente no se encuentra en el KEV de CISA ni se han reportado campañas de explotación activas. Sin embargo, dada la facilidad de explotación de las vulnerabilidades XSS, es probable que se convierta en un objetivo para atacantes en el futuro cercano. No se han identificado pruebas de concepto (PoC) públicas disponibles.
Users of Autodesk Fusion who are actively working with assembly variants and relying on the delete confirmation dialog are at risk. This includes engineers, designers, and project managers who frequently manage and delete project assets within the application. Shared hosting environments where multiple users access the same Fusion installation may amplify the risk.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='Microsoft-Windows-PowerShell'] and (EventID=4688)] and EventData[Data[@Name='Command Line'] and contains(., 'Fusion.exe')]]"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect the delete confirmation dialog for unexpected HTML or JavaScript code.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Autodesk Fusion a la versión 2702.1.47 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la aplicación y monitorear la actividad de los usuarios. Aunque no hay reglas WAF específicas disponibles, se puede implementar una regla general para bloquear la ejecución de scripts desde fuentes no confiables. Además, se recomienda educar a los usuarios sobre los riesgos de XSS y cómo identificar y evitar ataques de phishing.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de variantes de ensamblaje, evitando la ejecución de scripts maliciosos. Descargue la última versión desde el sitio web oficial de Autodesk.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4369 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0 through 2702.1.47. A malicious HTML payload can be injected through an assembly variant name, potentially leading to code execution.
You are affected if you are using Autodesk Fusion versions 2606.0 to 2702.1.47 and interact with the delete confirmation dialog.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
Currently, there are no publicly known active exploits for CVE-2026-4369, but prompt remediation is still recommended.
Refer to the official Autodesk security advisory for CVE-2026-4369 on the Autodesk Trust and Security website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.