Platform
windows
Component
autodesk-fusion
Opgelost in
2702.1.47
CVE-2026-4345 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in Autodesk Fusion. Een aanvaller kan een kwaadwillig HTML-payload in een ontwerpnaam opslaan en deze exporteren naar een CSV-bestand. Wanneer dit bestand wordt geopend, kan de payload worden uitgevoerd, wat potentieel leidt tot het lezen van lokale bestanden of het uitvoeren van willekeurige code. Deze kwetsbaarheid treft versies 2606.0 tot en met 2702.1.47 en is verholpen in versie 2702.1.47.
Deze XSS-kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts uit te voeren binnen de context van de Autodesk Fusion applicatie. Dit kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen en wachtwoorden die in de applicatie zijn opgeslagen. Verder kan de aanvaller mogelijk toegang krijgen tot lokale bestanden op het systeem van het slachtoffer, of zelfs willekeurige code uitvoeren met de privileges van de gebruiker. De impact is significant, aangezien een succesvolle exploitatie kan leiden tot een compromittering van de hele werkstation.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-14. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat de kans op toekomstige exploitatie verhoogt. De KEV-status is momenteel onbekend. Er zijn geen bekende actieve campagnes gerelateerd aan deze kwetsbaarheid.
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4345 is het updaten van Autodesk Fusion naar versie 2702.1.47 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de rechten van de gebruiker die toegang heeft tot de CSV-export functie helpen de impact te verminderen. Controleer ook de CSV-bestanden op verdachte inhoud voordat ze worden geopend. Er zijn geen specifieke WAF-regels of detectie signatures beschikbaar voor deze specifieke kwetsbaarheid, maar algemene XSS-detectie regels kunnen helpen bij het identificeren van verdachte activiteiten.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4345 is a Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion, allowing malicious code execution via a crafted HTML payload in a CSV export.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the official Autodesk security advisory for detailed information and updates: [https://www.autodesk.com/support/security-advisories]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.