Plataforma
windows
Componente
autodesk-fusion
Corrigido em
2702.1.47
A vulnerabilidade CVE-2026-4344 é uma falha de Cross-Site Scripting (XSS) armazenada identificada no Autodesk Fusion. Um atacante pode injetar um payload HTML malicioso no nome de um componente, que, ao ser exibido na caixa de diálogo de confirmação de exclusão e clicado por um usuário, pode ser explorado. Essa vulnerabilidade afeta as versões 2606.0 até 2702.1.46 e foi corrigida na versão 2702.1.47.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no navegador da vítima, no contexto do processo do Autodesk Fusion. Isso pode levar ao roubo de informações sensíveis, como credenciais de login ou dados armazenados localmente. Além disso, o atacante pode potencialmente executar código arbitrário no sistema da vítima, comprometendo a integridade e a confidencialidade dos dados. A exploração pode ocorrer através da manipulação do nome de um componente durante o processo de exclusão, tornando a vulnerabilidade relativamente fácil de explorar para usuários com acesso limitado ao sistema.
A vulnerabilidade foi divulgada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV). A pontuação de probabilidade de exploração (EPSS) ainda não foi determinada. A existência de um Proof of Concept (PoC) público não foi confirmada até o momento.
Users of Autodesk Fusion who rely on the delete confirmation dialog for managing components are at risk. Specifically, organizations with legacy Fusion deployments (versions 2606.0–2702.1.47) and those with users who frequently interact with component deletion processes are particularly vulnerable. Shared hosting environments where multiple users share the same Fusion installation could also amplify the impact of this vulnerability.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and Message -match 'Autodesk Fusion'"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for requests to Fusion endpoints containing unusual HTML or JavaScript code in component names. • generic web: Review Fusion application logs for errors or warnings related to HTML parsing or rendering.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-4344 é atualizar o Autodesk Fusion para a versão 2702.1.47 ou superior, que inclui a correção para esta vulnerabilidade. Enquanto a atualização não for possível, considere restringir o acesso aos componentes que podem ser afetados. Implementar políticas de segurança de conteúdo (CSP) no Autodesk Fusion, se aplicável, pode ajudar a mitigar o impacto da exploração. Monitore logs de sistema e de aplicação em busca de atividades suspeitas, como tentativas de injeção de código malicioso.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. Descargue la última versión desde el sitio web oficial de Autodesk o a través de los canales de actualización de la aplicación. Esta actualización corrige la forma en que se manejan los nombres de componentes, evitando la ejecución de scripts maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4344 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0–2702.1.47, allowing malicious code execution via a crafted HTML payload in a component name.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47 and have not yet upgraded to a patched version.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve this XSS vulnerability. Consider temporary workarounds if immediate upgrading is not possible.
There is currently no indication of active exploitation campaigns targeting CVE-2026-4344, but the vulnerability remains a potential risk.
Refer to the official Autodesk security advisory for detailed information and updates regarding CVE-2026-4344: [https://www.autodesk.com/support/security-advisories]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.