Platform
windows
Component
autodesk-fusion
Opgelost in
2702.1.47
CVE-2026-4369 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in Autodesk Fusion. Deze kwetsbaarheid kan misbruikt worden om code uit te voeren in de context van het huidige proces, mogelijk met toegang tot lokale bestanden. De kwetsbaarheid treedt op in versies 2606.0 tot en met 2702.1.47. Een fix is beschikbaar in versie 2702.1.47.
Een aanvaller kan deze XSS kwetsbaarheid uitbuiten door een kwaadwillend HTML-payload in een assembly variant naam te injecteren. Wanneer deze payload wordt weergegeven in het verwijderingsbevestigingsdialoogvenster en door een gebruiker wordt aangeklikt, kan dit leiden tot de uitvoering van JavaScript code. Dit kan resulteren in het stelen van gevoelige informatie, zoals lokale bestanden, of het manipuleren van de applicatie. De impact is verhoogd omdat de code wordt uitgevoerd in de context van de huidige proces, wat potentieel toegang geeft tot gevoelige bronnen.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gerelateerd aan CVE-2026-4369. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2026-04-14 en is opgenomen in het NVD (National Vulnerability Database). De EPSS score is nog niet bekend.
Users of Autodesk Fusion who are actively working with assembly variants and relying on the delete confirmation dialog are at risk. This includes engineers, designers, and project managers who frequently manage and delete project assets within the application. Shared hosting environments where multiple users access the same Fusion installation may amplify the risk.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='Microsoft-Windows-PowerShell'] and (EventID=4688)] and EventData[Data[@Name='Command Line'] and contains(., 'Fusion.exe')]]"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect the delete confirmation dialog for unexpected HTML or JavaScript code.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4369 is het upgraden van Autodesk Fusion naar versie 2702.1.47 of hoger. Indien een upgrade momenteel niet mogelijk is, kan het beperken van de rechten van gebruikers die toegang hebben tot het verwijderingsdialoogvenster helpen het risico te verminderen. Controleer ook de inputvalidatie op assembly variant namen om te voorkomen dat kwaadwillende payloads worden ingevoerd. Er zijn geen specifieke WAF-regels of detectie signatures bekend, maar het monitoren van de applicatie op ongebruikelijke JavaScript-activiteit is aan te raden.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de variantes de ensamblaje, evitando la ejecución de scripts maliciosos. Descargue la última versión desde el sitio web oficial de Autodesk.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4369 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0 through 2702.1.47. A malicious HTML payload can be injected through an assembly variant name, potentially leading to code execution.
You are affected if you are using Autodesk Fusion versions 2606.0 to 2702.1.47 and interact with the delete confirmation dialog.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
Currently, there are no publicly known active exploits for CVE-2026-4369, but prompt remediation is still recommended.
Refer to the official Autodesk security advisory for CVE-2026-4369 on the Autodesk Trust and Security website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.