Plataforma
windows
Componente
autodesk-fusion
Corrigido em
2702.1.47
A vulnerabilidade CVE-2026-4345 é uma falha de Cross-Site Scripting (XSS) armazenada no Autodesk Fusion. Um atacante pode injetar um payload HTML malicioso em um nome de design, que, ao ser exportado para um arquivo CSV, pode ser executado quando aberto em um navegador. Essa falha afeta as versões 2606.0 até 2702.1.47 e foi corrigida na versão 2702.1.47.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do usuário que abre o arquivo CSV exportado. Isso pode levar à leitura de arquivos locais confidenciais, roubo de credenciais ou até mesmo à execução de código arbitrário no sistema do usuário. O impacto potencial é significativo, especialmente em ambientes onde o Autodesk Fusion é amplamente utilizado para gerenciamento de projetos e colaboração. A capacidade de executar código arbitrário abre portas para ataques mais avançados, como a instalação de malware ou o acesso a dados sensíveis.
A vulnerabilidade foi divulgada em 2026-04-14. Não há evidências de exploração ativa em campanhas públicas no momento da divulgação. A pontuação CVSS é 7.1 (HIGH), indicando um risco significativo. Não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um PoC público amplamente divulgado pode indicar uma barreira de entrada mais alta para a exploração, mas a possibilidade de exploração ainda existe.
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 2702.1.47 ou superior do Autodesk Fusion, que inclui a correção para esta vulnerabilidade. Enquanto a atualização não for possível, considere desabilitar a exportação de arquivos CSV ou implementar controles de acesso rigorosos para restringir quem pode exportar e importar esses arquivos. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à manipulação de arquivos CSV e considere a implementação de regras de firewall ou proxy para bloquear o tráfego malicioso. Após a atualização, confirme a correção verificando se o arquivo CSV exportado não executa o script malicioso injetado.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4345 is a Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion, allowing malicious code execution via a crafted HTML payload in a CSV export.
You are affected if you are using Autodesk Fusion versions 2606.0 through 2702.1.47.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the official Autodesk security advisory for detailed information and updates: [https://www.autodesk.com/support/security-advisories]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.