Vulnerabilidade de Cross-Site Scripting (XSS) Persistente no Nome do Design
Plataforma
windows
Componente
autodesk-fusion
Corrigido em
2702.1.47
A vulnerabilidade CVE-2026-4345 é uma falha de Cross-Site Scripting (XSS) armazenada no Autodesk Fusion. Um atacante pode injetar um payload HTML malicioso em um nome de design, que, ao ser exportado para um arquivo CSV, pode ser executado quando aberto em um navegador. Essa falha afeta as versões 2606.0 até 2702.1.47 e foi corrigida na versão 2702.1.47.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do usuário que abre o arquivo CSV exportado. Isso pode levar à leitura de arquivos locais confidenciais, roubo de credenciais ou até mesmo à execução de código arbitrário no sistema do usuário. O impacto potencial é significativo, especialmente em ambientes onde o Autodesk Fusion é amplamente utilizado para gerenciamento de projetos e colaboração. A capacidade de executar código arbitrário abre portas para ataques mais avançados, como a instalação de malware ou o acesso a dados sensíveis.
Contexto de Exploração
A vulnerabilidade foi divulgada em 2026-04-14. Não há evidências de exploração ativa em campanhas públicas no momento da divulgação. A pontuação CVSS é 7.1 (HIGH), indicando um risco significativo. Não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um PoC público amplamente divulgado pode indicar uma barreira de entrada mais alta para a exploração, mas a possibilidade de exploração ainda existe.
Quem Está em Riscotraduzindo…
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
Passos de Detecçãotraduzindo…
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é a atualização para a versão 2702.1.47 ou superior do Autodesk Fusion, que inclui a correção para esta vulnerabilidade. Enquanto a atualização não for possível, considere desabilitar a exportação de arquivos CSV ou implementar controles de acesso rigorosos para restringir quem pode exportar e importar esses arquivos. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à manipulação de arquivos CSV e considere a implementação de regras de firewall ou proxy para bloquear o tráfego malicioso. Após a atualização, confirme a correção verificando se o arquivo CSV exportado não executa o script malicioso injetado.
Como corrigirtraduzindo…
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-4345 — XSS in Autodesk Fusion?
CVE-2026-4345 is a Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion, allowing malicious code execution via a crafted HTML payload in a CSV export.
Am I affected by CVE-2026-4345 in Autodesk Fusion?
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47.
How do I fix CVE-2026-4345 in Autodesk Fusion?
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
Is CVE-2026-4345 being actively exploited?
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Where can I find the official Autodesk advisory for CVE-2026-4345?
Refer to the official Autodesk security advisory for detailed information and updates: [https://www.autodesk.com/support/security-advisories]
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.