CVE-2026-4345 描述了 Autodesk Fusion 桌面应用程序中存在的存储型跨站脚本攻击 (XSS) 漏洞。攻击者可以通过将恶意 HTML 有效载荷存储在设计名称中,并在将其导出到 CSV 文件时触发该漏洞,从而可能读取本地文件或执行任意代码。此漏洞影响 Autodesk Fusion 2606.0 到 2702.1.47 版本。已发布补丁,建议用户升级至 2702.1.47 版本。
影响与攻击场景
该 XSS 漏洞允许攻击者在受影响的 Autodesk Fusion 应用程序中执行恶意脚本。攻击者可以利用此漏洞窃取用户的敏感信息,例如登录凭据或设计数据。更严重的攻击者甚至可能利用此漏洞在用户的计算机上执行任意代码,从而完全控制系统。由于 CSV 文件可以被广泛共享,因此该漏洞的潜在影响范围非常广泛,可能导致数据泄露和系统入侵。攻击者可以利用此漏洞,通过诱骗用户打开包含恶意脚本的 CSV 文件,从而实现攻击。
利用背景
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,预计未来可能会出现更多利用尝试。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞描述表明利用相对简单。
哪些人处于风险中翻译中…
Organizations and individuals using Autodesk Fusion for design and engineering are at risk. Specifically, users who regularly export designs to CSV format and share those files with others are particularly vulnerable. Shared hosting environments where multiple users access the same Fusion installation could also amplify the risk, as a compromised user could potentially affect other users on the same system.
检测步骤翻译中…
• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Fusion.Desktop.App']] and EventID=1234]" -ErrorAction SilentlyContinue• windows / supply-chain:
Get-Process -Name Fusion.Desktop.App -ErrorAction SilentlyContinue | Select-Object -ExpandProperty CommandLine• generic web: Inspect CSV files exported from Autodesk Fusion for suspicious HTML tags (e.g., <script>, <iframe>) within design names.
攻击时间线
- Disclosure
disclosure
威胁情报
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 本地 — 攻击者需要系统上的本地会话或Shell。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 无 — 无需认证,无需凭证即可利用。
- User Interaction
- 需要 — 受害者必须打开文件、点击链接或访问特制页面。
- Scope
- 未改变 — 影响仅限于脆弱组件本身。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 无 — 无可用性影响。
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
缓解此漏洞的首要措施是立即升级到 Autodesk Fusion 2702.1.47 或更高版本。如果无法立即升级,可以考虑限制用户访问可能包含恶意 HTML 代码的设计文件。此外,实施严格的文件审查流程,以防止恶意 CSV 文件进入系统。在升级期间,如果遇到兼容性问题,可以尝试回滚到之前的稳定版本,并联系 Autodesk 技术支持寻求帮助。建议配置 Web 应用防火墙 (WAF) 或代理服务器,以过滤包含可疑脚本的 CSV 文件。
修复方法翻译中…
Actualice Autodesk Fusion a la versión 2702.1.47 o posterior para mitigar la vulnerabilidad de XSS. La actualización parchea la forma en que se manejan los nombres de diseño exportados a CSV, previniendo la ejecución de código malicioso. Consulte la página de avisos de seguridad de Autodesk para obtener más detalles e instrucciones de descarga.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
什么是 CVE-2026-4345 — 存储型 XSS 在 Autodesk Fusion 中?
CVE-2026-4345 是 Autodesk Fusion 2606.0–2702.1.47 版本中发现的存储型跨站脚本攻击 (XSS) 漏洞。攻击者可以通过恶意 HTML 代码注入到设计名称中,并在 CSV 文件导出时触发该漏洞。
我是否受到 CVE-2026-4345 在 Autodesk Fusion 中影响?
如果您正在使用 Autodesk Fusion 2606.0 到 2702.1.47 版本,则可能受到此漏洞的影响。请立即升级到 2702.1.47 或更高版本。
我如何修复 CVE-2026-4345 在 Autodesk Fusion 中?
修复此漏洞的最佳方法是升级到 Autodesk Fusion 2702.1.47 或更高版本。
CVE-2026-4345 是否正在被积极利用?
目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,预计未来可能会出现更多利用尝试。
在哪里可以找到 Autodesk Fusion 官方关于 CVE-2026-4345 的公告?
请访问 Autodesk 官方安全公告页面,搜索 CVE-2026-4345 以获取更多信息。