Plataforma
windows
Componente
autodesk-fusion
Corrigido em
2702.1.47
A vulnerabilidade CVE-2026-4369 é uma falha de Cross-Site Scripting (XSS) armazenada identificada no Autodesk Fusion. Um atacante pode injetar um payload HTML malicioso no nome da variante da montagem, que, ao ser exibido na caixa de diálogo de confirmação de exclusão e clicado por um usuário, pode ser explorado. Essa vulnerabilidade afeta as versões 2606.0 até 2702.1.47 e foi corrigida na versão 2702.1.47.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar código JavaScript arbitrário no navegador da vítima. Isso pode levar ao roubo de informações sensíveis, como credenciais de login, cookies de sessão e dados confidenciais armazenados localmente. Além disso, o atacante pode potencialmente ler arquivos locais, redirecionar o usuário para sites maliciosos ou até mesmo comprometer o sistema operacional subjacente, dependendo das permissões do processo em execução. A exploração pode ocorrer sem interação do usuário, tornando-a particularmente perigosa.
A vulnerabilidade foi divulgada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV catalog). A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A ausência de um Proof of Concept (PoC) público não elimina o risco, mas sugere que a exploração pode ser mais complexa.
Users of Autodesk Fusion who are actively working with assembly variants and relying on the delete confirmation dialog are at risk. This includes engineers, designers, and project managers who frequently manage and delete project assets within the application. Shared hosting environments where multiple users access the same Fusion installation may amplify the risk.
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "/Event[System[Provider[@Name='Microsoft-Windows-PowerShell'] and (EventID=4688)] and EventData[Data[@Name='Command Line'] and contains(., 'Fusion.exe')]]"• windows / supply-chain:
Get-Process -Name Fusion | Select-Object -ExpandProperty Path• generic web: Inspect the delete confirmation dialog for unexpected HTML or JavaScript code.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-4369 é atualizar o Autodesk Fusion para a versão 2702.1.47 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à funcionalidade de exclusão de montagens e monitorar o tráfego de rede em busca de padrões suspeitos. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de ataques XSS, limitando as fontes de scripts que o navegador pode executar. Após a atualização, confirme a correção verificando se a caixa de diálogo de confirmação de exclusão não permite a execução de scripts maliciosos.
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de variantes de ensamblaje, evitando la ejecución de scripts maliciosos. Descargue la última versión desde el sitio web oficial de Autodesk.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4369 is a Stored Cross-Site Scripting (XSS) vulnerability in Autodesk Fusion versions 2606.0 through 2702.1.47. A malicious HTML payload can be injected through an assembly variant name, potentially leading to code execution.
You are affected if you are using Autodesk Fusion versions 2606.0 to 2702.1.47 and interact with the delete confirmation dialog.
Upgrade to Autodesk Fusion version 2702.1.47 or later to resolve the vulnerability.
Currently, there are no publicly known active exploits for CVE-2026-4369, but prompt remediation is still recommended.
Refer to the official Autodesk security advisory for CVE-2026-4369 on the Autodesk Trust and Security website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.