HIGHCVE-2026-4345CVSS 7.1

デザイン名における保存型クロスサイトスクリプティング (XSS) 脆弱性

プラットフォーム

windows

コンポーネント

autodesk-fusion

修正版

2702.1.47

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4345は、Autodesk Fusionの設計名に保存された悪意のあるHTMLペイロードがCSV形式でエクスポートされる際に発生するクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者はローカルファイルを読み取ったり、現在のプロセスで任意のコードを実行する可能性があります。影響を受けるバージョンは2606.0から2702.1.47です。Autodeskはバージョン2702.1.47で修正を提供しています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がAutodesk Fusionを実行しているユーザーのコンテキストで悪意のあるスクリプトを実行することを可能にします。攻撃者は、設計名に巧妙に作成されたHTMLペイロードを挿入し、それをCSVファイルとしてエクスポートすることで、この脆弱性を悪用できます。エクスポートされたCSVファイルを開くと、ペイロードが実行され、攻撃者はユーザーのローカルファイルにアクセスしたり、システム上で任意のコードを実行したりする可能性があります。この脆弱性は、機密情報の漏洩、マルウェアのインストール、またはシステム制御の奪取につながる可能性があります。攻撃者は、この脆弱性を利用して、ユーザーの認証情報を盗んだり、他のシステムへのアクセスを確立したりする可能性があります。

悪用の状況

この脆弱性は、Autodeskによって2026年4月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC（Proof of Concept）は確認されていません。CISAのKEV（Known Exploited Vulnerabilities）カタログへの追加状況は不明です。EPSS（Exploit Prediction Score System）による評価はまだ行われていません。この脆弱性は、設計名に悪意のあるペイロードを挿入する必要があるため、攻撃が容易ではない可能性があります。

リスク対象者翻訳中…

Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.

検出手順翻訳中…

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue

• windows / supply-chain:

Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine

• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントautodesk-fusion

ベンダーAutodesk

影響範囲修正版

2606.0 – 2702.1.462702.1.47

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-17
公開日2026-04-14
更新日2026-04-15
EPSS 更新日2026-04-22

緩和策と回避策

Autodeskは、この脆弱性を修正したバージョン2702.1.47へのアップデートを推奨しています。アップデートがすぐに利用できない場合は、CSVファイルのエクスポートを一時的に停止し、信頼できないソースからのCSVファイルを慎重に扱うようにユーザーに指示してください。WAF（Web Application Firewall）を導入し、悪意のあるHTMLペイロードを検出してブロックするルールを設定することも有効です。また、Autodesk Fusionのログを監視し、異常なアクティビティを検出するためのカスタム検出ルールを作成することも推奨されます。アップデート後、Fusionアプリケーションを再起動し、バージョン番号が2702.1.47であることを確認してください。

修正方法翻訳中…

Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS.  La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso.  Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4345 — XSS in Autodesk Fusion 2702.1.47とは何ですか？

CVE-2026-4345は、Autodesk Fusionの設計名に保存された悪意のあるHTMLペイロードがCSV形式でエクスポートされる際に発生するクロスサイトスクリプティング（XSS）脆弱性です。

CVE-2026-4345 in Autodesk Fusionで影響を受けますか？

Autodesk Fusionのバージョンが2606.0から2702.1.47の場合は、この脆弱性の影響を受けます。

CVE-2026-4345 in Autodesk Fusionを修正するにはどうすればよいですか？

Autodesk Fusionをバージョン2702.1.47にアップデートしてください。

CVE-2026-4345は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。

CVE-2026-4345に関するAutodeskの公式アドバイザリはどこで入手できますか？

Autodeskのセキュリティアドバイザリページで確認してください: [Autodesk Security Advisories](https://www.autodesk.com/support/security-advisories)