Plateforme
windows
Composant
autodesk-fusion
Corrigé dans
2702.1.47
Une vulnérabilité de Cross-Site Scripting (XSS) stocké a été découverte dans Autodesk Fusion. Cette faille permet à un attaquant d'injecter une charge utile HTML malveillante dans un nom de conception, qui est ensuite exportée au format CSV. L'exploitation réussie de cette vulnérabilité peut entraîner la lecture de fichiers locaux ou l'exécution de code arbitraire dans le contexte du processus actuel. Les versions affectées sont comprises entre 2606.0 et 2702.1.47 incluses, et une correction est disponible dans la version 2702.1.47.
L'impact de cette vulnérabilité XSS stocké est significatif. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript malveillant dans le navigateur d'un utilisateur Autodesk Fusion. Cela peut permettre à l'attaquant de voler des informations sensibles, telles que des identifiants de connexion ou des données de conception confidentielles. De plus, l'attaquant pourrait potentiellement utiliser cette vulnérabilité pour installer des logiciels malveillants sur l'ordinateur de l'utilisateur ou pour lancer des attaques contre d'autres systèmes sur le réseau. Le vecteur d'attaque est l'exportation de fichiers CSV contenant la charge utile malveillante, ce qui rend la propagation potentiellement large.
Cette vulnérabilité a été publiée le 14 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. La probabilité d'exploitation est considérée comme faible à modérée, compte tenu de la nécessité d'une interaction utilisateur pour ouvrir le fichier CSV exporté. Des preuves de concept (PoC) publiques ne sont pas encore disponibles, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable.
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Autodesk Fusion vers la version 2702.1.47 ou supérieure, qui inclut la correction de cette vulnérabilité. En attendant la mise à niveau, il est recommandé de désactiver temporairement l'exportation de fichiers CSV ou de restreindre l'accès aux fichiers CSV exportés. Une analyse rigoureuse des noms de conception avant l'exportation peut également aider à identifier et à supprimer les charges utiles malveillantes potentielles. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des entrées utilisateur et une désinfection des données exportées sont des bonnes pratiques générales.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4345 is a Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion, allowing malicious code execution via a crafted HTML payload in a CSV export.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the official Autodesk security advisory for detailed information and updates: [https://www.autodesk.com/support/security-advisories]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.