プラットフォーム
windows
コンポーネント
autodesk-fusion
修正版
2702.1.47
CVE-2026-4344は、Autodesk Fusionのコンポーネント名に悪意のあるHTMLペイロードが埋め込まれることで発生するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者はローカルファイルを読み取ったり、現在のプロセス内で任意のコードを実行したりする可能性があります。影響を受けるバージョンは2606.0から2702.1.47です。Autodeskはバージョン2702.1.47で修正を提供しています。
このXSS脆弱性は、攻撃者がAutodesk Fusionを実行しているユーザーのシステム上で悪意のあるスクリプトを実行することを可能にします。攻撃者は、ユーザーが削除確認ダイアログをクリックさせることで、このスクリプトをトリガーできます。成功した場合、攻撃者はローカルファイルにアクセスし、機密情報を盗み出す可能性があります。さらに、攻撃者はシステム上で任意のコードを実行し、システムを完全に制御する可能性があります。この脆弱性は、特にユーザーが信頼できないソースからコンポーネント名を受け取る場合に深刻なリスクとなります。
この脆弱性は2026年4月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。CISAのKEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、ユーザーの認証情報を盗み出したり、マルウェアをインストールしたりする可能性があります。
Users of Autodesk Fusion who rely on the delete confirmation dialog for managing components are at risk. Specifically, organizations with legacy Fusion deployments (versions 2606.0–2702.1.47) and those with users who frequently interact with component deletion processes are particularly vulnerable. Shared hosting environments where multiple users share the same Fusion installation could also amplify the impact of this vulnerability.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and Message -match 'Autodesk Fusion'"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for requests to Fusion endpoints containing unusual HTML or JavaScript code in component names. • generic web: Review Fusion application logs for errors or warnings related to HTML parsing or rendering.
disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
Autodeskは、この脆弱性を修正したバージョン2702.1.47へのアップデートを推奨しています。アップデートがすぐに利用できない場合、ユーザーは、信頼できないソースからのコンポーネント名の入力を制限することで、リスクを軽減できます。また、Webアプリケーションファイアウォール(WAF)を使用して、悪意のあるペイロードをブロックすることも有効です。Fusionのセキュリティ設定を強化し、不要な機能やコンポーネントを無効化することも推奨されます。アップデート後、Fusionアプリケーションを再起動し、脆弱性が修正されていることを確認してください。
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. Descargue la última versión desde el sitio web oficial de Autodesk o a través de los canales de actualización de la aplicación. Esta actualización corrige la forma en que se manejan los nombres de componentes, evitando la ejecución de scripts maliciosos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-4344は、Autodesk Fusion 2606.0–2702.1.47におけるクロスサイトスクリプティング(XSS)脆弱性です。悪意のあるHTMLペイロードがコンポーネント名に埋め込まれ、クリックされると、ローカルファイルの読み取りや任意のコード実行につながる可能性があります。
Autodesk Fusionのバージョンが2606.0から2702.1.47である場合、この脆弱性の影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。
Autodeskは、バージョン2702.1.47で修正を提供しています。最新バージョンにアップデートすることで、この脆弱性を修正できます。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。
Autodeskのセキュリティアドバイザリページで、CVE-2026-4344に関する情報を確認できます。Autodeskのサポートサイトを参照してください。
CVSS ベクトル