CVE-2026-4369 CVSS 7.1 高危

CVE-2026-4369 Autodesk Fusion存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4369

漏洞类型

存储型XSS (Stored XSS)

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Autodesk Fusion

漏洞概述

Autodesk Fusion桌面应用程序中存在一个高危的存储型跨站脚本（XSS）漏洞。该漏洞源于应用程序未能正确过滤“组装变体名称”中嵌入的恶意HTML载荷。攻击者可以构造包含恶意脚本的特殊变体名称，并将其保存到项目中。当受害者打开受感染的项目并在删除确认对话框中查看并点击该内容时，恶意代码将被触发。成功利用此漏洞可能导致攻击者读取本地敏感文件或在当前进程的上下文中执行任意代码，对系统安全构成严重威胁。

技术细节

该漏洞位于Autodesk Fusion处理及渲染组装变体名称的模块中。由于应用程序未对用户输入的变体名称进行严格的HTML实体编码或无害化处理，攻击者可以将恶意的HTML标签和JavaScript代码注入到该字段中。这种恶意载荷被持久化存储在项目数据中。在攻击链的触发阶段，当用户尝试删除相关组件时，应用程序会在本地渲染引擎（通常基于Chromium或类似Web技术）中显示删除确认对话框，此时未经过滤的恶意代码将被解析执行。鉴于Fusion是桌面应用程序，其运行环境通常拥有比标准Web浏览器更高的权限，攻击者可以利用Electron或类似的Node.js集成机制，通过XSS漏洞突破沙箱限制，进而访问本地文件系统（读取本地文件）或调用系统命令执行任意代码。

攻击链分析

STEP 1

1. 恶意构造

攻击者创建一个包含恶意HTML/JavaScript载荷的Autodesk Fusion项目，并将载荷注入到“组装变体名称”字段中。

STEP 2

2. 诱导传递

攻击者通过钓鱼邮件或文件共享平台，将包含恶意载荷的项目文件发送给目标受害者。

STEP 3

3. 用户交互

受害者使用Autodesk Fusion打开该项目，并在不知情的情况下尝试删除包含恶意名称的组件，触发删除确认对话框。

STEP 4

4. 代码执行

应用程序渲染对话框时解析恶意代码，脚本在当前进程上下文中运行，读取本地文件或执行系统命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Malicious HTML payload for Assembly Variant Name -->
<img src=x onerror="alert('CVE-2026-4369 XSS Triggered');">

<!-- Advanced payload attempting to read local files (assuming Electron/Node context) -->
<script>
  // Attempt to read a file if Node integration is enabled
  try {
    const fs = require('fs');
    alert(fs.readFileSync('/etc/passwd').toString());
  } catch (e) {
    console.log('Sandbox escape failed or restricted');
  }
</script>

影响范围

Autodesk Fusion < 修复版本 (请参考官方公告 ADSK-SA-2026-0005)

防御指南

临时缓解措施

建议用户不要打开或加载来源不明的Autodesk Fusion项目文件。在打开第三方共享的项目前，应检查组装变体名称是否包含异常字符或HTML标签。同时，应遵循最小权限原则，避免使用管理员权限运行Autodesk Fusion，以减少潜在代码执行造成的破坏范围。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表