HIGHCVE-2026-4369CVSS 7.1

Assembly Variant Nameにおける保存型クロスサイトスクリプティング (XSS) 脆弱性

プラットフォーム

windows

コンポーネント

autodesk-fusion

修正版

2702.1.47

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4369は、Autodesk Fusionのバージョン2606.0から2702.1.47に影響を与えるクロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性は、悪意のあるHTMLペイロードがアセンブリのバリアント名に埋め込まれ、削除確認ダイアログで表示された際にユーザーがクリックすることで発生します。脆弱性が悪用されると、攻撃者はローカルファイルを読み取ったり、現在のプロセス内で任意のコードを実行したりする可能性があります。Autodesk Fusion 2702.1.47へのアップデートで修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がAutodesk Fusionを実行しているユーザーのブラウザ内で悪意のあるスクリプトを実行することを可能にします。攻撃者は、このスクリプトを使用して、ユーザーのローカルファイルにアクセスしたり、機密情報を盗んだり、ユーザーを悪意のあるウェブサイトにリダイレクトしたりすることができます。さらに、攻撃者は現在のプロセス内で任意のコードを実行できるため、システム全体のセキュリティを脅かす可能性があります。この脆弱性は、ユーザーが削除確認ダイアログをクリックするたびに悪用される可能性があるため、広範囲に影響を及ぼす可能性があります。

悪用の状況

CVE-2026-4369は、2026年4月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、Autodesk Fusionを実行しているユーザーのシステムに侵入し、機密情報を盗む可能性があります。

リスク対象者翻訳中…

Users of Autodesk Fusion who are actively working with assembly variants and relying on the delete confirmation dialog are at risk. This includes engineers, designers, and project managers who frequently manage and delete project assets within the application. Shared hosting environments where multiple users access the same Fusion installation may amplify the risk.

検出手順翻訳中…

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='Microsoft-Windows-PowerShell'] and (EventID=4688)] and EventData[Data[@Name='Command Line'] and contains(., 'Fusion.exe')]]"

• windows / supply-chain:

Get-Process -Name Fusion | Select-Object -ExpandProperty Path

• generic web: Inspect the delete confirmation dialog for unexpected HTML or JavaScript code.

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントautodesk-fusion

ベンダーAutodesk

影響範囲修正版

2606.0 – 2702.1.462702.1.47

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-18
公開日2026-04-14
更新日2026-04-15
EPSS 更新日2026-04-22

緩和策と回避策

この脆弱性への最も効果的な対策は、Autodesk Fusionをバージョン2702.1.47にアップデートすることです。アップデートが利用できない場合、攻撃者が悪意のあるHTMLペイロードを挿入できないように、アセンブリのバリアント名に対する入力検証を強化することを検討してください。また、WAF（Web Application Firewall）を導入して、XSS攻撃を検出およびブロックすることも有効です。Fusionのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、Fusionを再起動し、削除確認ダイアログで悪意のあるHTMLペイロードが正常に処理されることを確認してください。

修正方法翻訳中…

Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS.  La actualización parchea la forma en que se manejan los nombres de variantes de ensamblaje, evitando la ejecución de scripts maliciosos.  Descargue la última versión desde el sitio web oficial de Autodesk.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4369 — XSS in Autodesk Fusion 2702.1.47とは何ですか？

CVE-2026-4369は、Autodesk Fusionのバージョン2606.0から2702.1.47に影響を与える、悪意のあるHTMLペイロードがアセンブリのバリアント名に埋め込まれると発生するクロスサイトスクリプティング（XSS）の脆弱性です。

CVE-2026-4369 in Autodesk Fusionで影響を受けますか？

Autodesk Fusionのバージョン2606.0から2702.1.47を使用している場合は、この脆弱性の影響を受ける可能性があります。

CVE-2026-4369 in Autodesk Fusionを修正するにはどうすればよいですか？

Autodesk Fusionをバージョン2702.1.47にアップデートすることで、この脆弱性を修正できます。

CVE-2026-4369は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-4369のAutodeskの公式アドバイザリはどこで入手できますか？

Autodeskの公式アドバイザリは、Autodeskのセキュリティ通知ページで確認できます。