CRITICAL🇬🇧 English

CVE-2026-10789

RCE w rozszerzeniu MCP aplikacji Autodesk Fusion przez złośliwą stronę WWW

CVSS 9.6v3.1pub. 2026-06-22upd. 2026-06-24

Podatność w rozszerzeniu MCP aplikacji Autodesk Fusion Desktop pozwala na zdalne wykonanie kodu (RCE) poprzez nakłonienie użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej. Zagrożenie jest krytyczne, ponieważ exploit nie wymaga uwierzytelnienia ani specjalnych uprawnień po stronie atakującego.

Pokaż oryginał (EN)

A maliciously crafted webpage, when visited by a user with Autodesk Fusion Desktop running and the MCP extension enabled, can trigger a vulnerability in the MCP extension that could allow arbitrary code execution. A successful exploit may allow code to execute with the privileges of the current user.

🤖 Analiza AI
Jak działa

Gdy użytkownik ma uruchomioną aplikację Autodesk Fusion Desktop z włączonym rozszerzeniem MCP i odwiedza złośliwie spreparowaną stronę internetową, rozszerzenie MCP przetwarza treść lub żądania pochodzące z tej strony w sposób umożliwiający wstrzyknięcie i wykonanie dowolnego kodu (CWE-94 — improper control of code generation). Atak nie wymaga interakcji wykraczającej poza samo odwiedzenie strony przez ofiarę. Wektor sieciowy (AV:N) przy braku wymogu uwierzytelnienia (PR:N) i zakresie wykraczającym poza aplikację (S:C) czyni tę podatność szczególnie niebezpieczną.

Skutki

Atakujący może wykonać dowolny kod z uprawnieniami aktualnie zalogowanego użytkownika systemu operacyjnego, co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub instalacji złośliwego oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.autodesk.com/trust/security-advisories/adsk-sa-2026-0008). Do czasu aktualizacji zaleca się wyłączenie rozszerzenia MCP w aplikacji Autodesk Fusion Desktop. Aktualizatory klienta dostępne są pod adresami wskazanymi w referencjach dla systemów Windows i macOS.

Kogo dotyczy

Autodesk Fusion Desktop z włączonym rozszerzeniem MCP — konkretne wersje wskazane w referencjach producenta (adsk-sa-2026-0008)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Autodesk Fusion

    APP
    Autodesk
    < 2703.1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-4369HIGH7.1ten sam produkt

A maliciously crafted HTML payload in an assembly variant name, when displayed during the delete confirmation ...

CVE-2026-4345HIGH7.1ten sam produkt

A maliciously crafted HTML payload, stored in a design name and exported to CSV, can trigger a Stored Cross-si...

CVE-2026-4344HIGH7.1ten sam produkt

A maliciously crafted HTML payload in a component name, when displayed during the delete confirmation dialog a...

CVE-2026-0535HIGH8.1ten sam produkt

A maliciously crafted HTML payload, stored in a component’s description and clicked by a user, can trigger a S...

CVE-2026-0533HIGH8.1ten sam produkt

A maliciously crafted HTML payload in a design name, when displayed during the delete confirmation dialog and ...