Plateforme
windows
Composant
autodesk-fusion
Corrigé dans
2702.1.47
La vulnérabilité CVE-2026-4344 est une faille de Cross-Site Scripting (XSS) stockée découverte dans Autodesk Fusion. L'exploitation réussie permet à un attaquant d'injecter du code malveillant via un nom de composant manipulé, qui est ensuite exécuté lorsqu'un utilisateur clique sur le dialogue de confirmation de suppression. Cette vulnérabilité affecte les versions de Fusion comprises entre 2606.0 et 2702.1.47 incluses, et une correction est disponible dans la version 2702.1.47.
Cette vulnérabilité XSS stockée présente un risque significatif pour les utilisateurs d'Autodesk Fusion. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript malveillant dans le navigateur de la victime, dans le contexte du processus Autodesk Fusion. Cela pourrait permettre à l'attaquant de lire des fichiers locaux sensibles sur la machine de la victime, de voler des informations d'identification ou d'effectuer d'autres actions malveillantes. L'impact est amplifié par le fait que la vulnérabilité se trouve dans un dialogue de confirmation de suppression, ce qui pourrait inciter les utilisateurs à cliquer sur des liens malveillants sans le savoir. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité XSS la rend potentiellement exploitable dans des attaques ciblées.
La vulnérabilité CVE-2026-4344 a été publiée le 14 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est actuellement disponible, ce qui limite le risque d'exploitation à court terme. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Users of Autodesk Fusion who rely on the delete confirmation dialog for managing components are at risk. Specifically, organizations with legacy Fusion deployments (versions 2606.0–2702.1.47) and those with users who frequently interact with component deletion processes are particularly vulnerable. Shared hosting environments where multiple users share the same Fusion installation could also amplify the impact of this vulnerability.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and Message -match 'Autodesk Fusion'"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for requests to Fusion endpoints containing unusual HTML or JavaScript code in component names. • generic web: Review Fusion application logs for errors or warnings related to HTML parsing or rendering.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Autodesk Fusion vers la version 2702.1.47 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement la fonctionnalité de suppression de composants ou de restreindre l'accès aux composants sensibles. Bien qu'il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, une règle générale de filtrage des entrées utilisateur pourrait aider à atténuer le risque. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte, en particulier les requêtes contenant des charges utiles HTML inhabituelles. Après la mise à jour, vérifiez la correction en tentant d'injecter une charge utile XSS simple dans le nom d'un composant et en vérifiant qu'elle n'est pas exécutée.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. Descargue la última versión desde el sitio web oficial de Autodesk o a través de los canales de actualización de la aplicación. Esta actualización corrige la forma en que se manejan los nombres de componentes, evitando la ejecución de scripts maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4344 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0–2702.1.47, allowing malicious code execution via a crafted HTML payload in a component name.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47 and have not yet upgraded to a patched version.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve this XSS vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-4344, but the vulnerability remains a potential risk.
Refer to the official Autodesk security advisory for detailed information and updates regarding CVE-2026-4344: [https://www.autodesk.com/support/security-advisories]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.