Plateforme
windows
Composant
autodesk-fusion
Corrigé dans
2702.1.47
La vulnérabilité CVE-2026-4369 est une faille de Cross-Site Scripting (XSS) stockée présente dans Autodesk Fusion. L'exploitation réussie permet à un attaquant d'injecter du code malveillant via une charge utile HTML dans le nom d'une variante d'assemblage. Ce code s'exécute lorsque l'utilisateur clique sur la confirmation de suppression, compromettant potentiellement la sécurité du système. Cette vulnérabilité affecte les versions de Fusion comprises entre 2606.0 et 2702.1.47, et une correction est disponible dans la version 2702.1.47.
Cette vulnérabilité XSS stockée permet à un attaquant d'exécuter du code JavaScript malveillant dans le contexte du navigateur de l'utilisateur. L'attaquant peut exploiter cette faille pour voler des informations sensibles, telles que des cookies de session ou des jetons d'authentification, permettant ainsi un accès non autorisé aux données de l'utilisateur. De plus, l'attaquant peut utiliser cette vulnérabilité pour lire des fichiers locaux sur la machine de la victime, compromettant ainsi la confidentialité des données. L'exécution de code arbitraire dans le contexte du processus Fusion pourrait également permettre à un attaquant de prendre le contrôle du système.
La vulnérabilité CVE-2026-4369 a été rendue publique le 2026-04-14. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publics largement disponibles. La sévérité de la vulnérabilité est considérée comme élevée en raison de la possibilité d'exécution de code arbitraire. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité malveillante.
Users of Autodesk Fusion who are actively working with assembly variants and relying on the delete confirmation dialog are at risk. This includes engineers, designers, and project managers who frequently manage and delete project assets within the application. Shared hosting environments where multiple users access the same Fusion installation may amplify the risk.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='Microsoft-Windows-PowerShell'] and (EventID=4688)] and EventData[Data[@Name='Command Line'] and contains(., 'Fusion.exe')]]"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect the delete confirmation dialog for unexpected HTML or JavaScript code.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Autodesk Fusion vers la version 2702.1.47 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de désactiver temporairement la fonctionnalité de suppression de variantes d'assemblage si possible. Une autre mesure d'atténuation consiste à mettre en œuvre des politiques de sécurité de contenu (CSP) strictes pour limiter les sources de script autorisées dans l'application Fusion. Surveillez également les journaux d'activité d'Autodesk Fusion pour détecter toute activité suspecte, comme des tentatives d'injection de code malveillant.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de variantes de ensamblaje, evitando la ejecución de scripts maliciosos. Descargue la última versión desde el sitio web oficial de Autodesk.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4369 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0 through 2702.1.47. A malicious HTML payload can be injected through an assembly variant name, potentially leading to code execution.
You are affected if you are using Autodesk Fusion versions 2606.0 to 2702.1.47 and interact with the delete confirmation dialog.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
Currently, there are no publicly known active exploits for CVE-2026-4369, but prompt remediation is still recommended.
Refer to the official Autodesk security advisory for CVE-2026-4369 on the Autodesk Trust and Security website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.