प्लेटफ़ॉर्म
windows
घटक
autodesk-fusion
में ठीक किया गया
2702.1.47
CVE-2026-4345 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Autodesk Fusion डेस्कटॉप एप्लिकेशन में पाई गई है। एक हमलावर दुर्भावनापूर्ण HTML पेलोड का उपयोग करके स्थानीय फ़ाइलों को पढ़ सकता है या वर्तमान प्रक्रिया के संदर्भ में मनमाना कोड चला सकता है। यह भेद्यता संस्करण 2606.0 से 2702.1.47 तक के Autodesk Fusion के संस्करणों को प्रभावित करती है। इस समस्या को Autodesk Fusion संस्करण 2702.1.47 में ठीक कर दिया गया है।
यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इसका मतलब है कि हमलावर उपयोगकर्ता के सत्र कुकीज़ तक पहुंच प्राप्त कर सकता है, संवेदनशील जानकारी चुरा सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है। विशेष रूप से, यदि कोई उपयोगकर्ता CSV फ़ाइल निर्यात करता है जिसमें दुर्भावनापूर्ण HTML पेलोड शामिल है, तो यह पेलोड निष्पादित हो सकता है, जिससे हमलावर को सिस्टम पर अधिक नियंत्रण मिल सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावर को स्थानीय फ़ाइलों तक पहुंचने की अनुमति देती है, जो संवेदनशील डेटा को उजागर कर सकती है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध जानकारी के आधार पर इसका शोषण किया जा सकता है। KEV स्कोर अभी तक उपलब्ध नहीं है। इस भेद्यता के लिए कोई सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) ज्ञात नहीं है। यह भेद्यता 2026-04-14 को प्रकाशित की गई थी।
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
Autodesk Fusion के संस्करण 2702.1.47 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो CSV फ़ाइलों को निर्यात करते समय सावधानी बरतें और केवल विश्वसनीय स्रोतों से प्राप्त फ़ाइलों को ही खोलें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करके भी इस भेद्यता को कम किया जा सकता है ताकि दुर्भावनापूर्ण HTML पेलोड को फ़िल्टर किया जा सके। इसके अतिरिक्त, फ़ाइल निर्यात प्रक्रिया में इनपुट सत्यापन को लागू करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि केवल मान्य डेटा को ही CSV फ़ाइलों में लिखा जाए।
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4345 Autodesk Fusion में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति देती है।
यदि आप Autodesk Fusion के संस्करण 2606.0 से 2702.1.47 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Autodesk Fusion के संस्करण 2702.1.47 में अपग्रेड करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन इसका शोषण किया जा सकता है।
Autodesk सुरक्षा सलाहकार के लिए Autodesk वेबसाइट देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।