Platform
windows
Component
autodesk-fusion
Opgelost in
2702.1.47
CVE-2026-4344 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in Autodesk Fusion. Deze kwetsbaarheid kan misbruikt worden om code uit te voeren in de context van het huidige proces, mogelijk met toegang tot lokale bestanden. De kwetsbaarheid treedt op in versies 2606.0 tot en met 2702.1.47. Een fix is beschikbaar in versie 2702.1.47.
Een aanvaller kan deze XSS kwetsbaarheid uitbuiten door een kwaadwillende HTML payload in een componentnaam te injecteren. Wanneer deze payload wordt weergegeven in het verwijderingsbevestigingsdialoogvenster en door een gebruiker wordt aangeklikt, kan dit leiden tot de uitvoering van JavaScript code. Dit kan misbruikt worden om gevoelige informatie te stelen, zoals lokale bestanden, of om andere schadelijke acties uit te voeren in de context van de Autodesk Fusion applicatie. De impact is aanzienlijk, aangezien een aanvaller potentieel volledige controle kan krijgen over de applicatie en de data die ermee wordt verwerkt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-14. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de XSS aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst wel zullen verschijnen. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt beschouwd als een hoog risico.
Users of Autodesk Fusion who rely on the delete confirmation dialog for managing components are at risk. Specifically, organizations with legacy Fusion deployments (versions 2606.0–2702.1.47) and those with users who frequently interact with component deletion processes are particularly vulnerable. Shared hosting environments where multiple users share the same Fusion installation could also amplify the impact of this vulnerability.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and Message -match 'Autodesk Fusion'"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for requests to Fusion endpoints containing unusual HTML or JavaScript code in component names. • generic web: Review Fusion application logs for errors or warnings related to HTML parsing or rendering.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Autodesk Fusion naar versie 2702.1.47 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan men overwegen om de gebruikersinterface te monitoren op verdachte activiteit. Het is belangrijk om te controleren of er geen onverwachte scripts worden uitgevoerd. Na de upgrade, bevestig de fix door te proberen een component te verwijderen en te controleren of de verwachte bevestigingsdialoogvenster wordt weergegeven zonder de mogelijkheid tot code-injectie.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. Descargue la última versión desde el sitio web oficial de Autodesk o a través de los canales de actualización de la aplicación. Esta actualización corrige la forma en que se manejan los nombres de componentes, evitando la ejecución de scripts maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4344 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0–2702.1.47, allowing malicious code execution via a crafted HTML payload in a component name.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47 and have not yet upgraded to a patched version.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve this XSS vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-4344, but the vulnerability remains a potential risk.
Refer to the official Autodesk security advisory for detailed information and updates regarding CVE-2026-4344: [https://www.autodesk.com/support/security-advisories]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.