Apa yang terjadi
Halaman web yang dirancang dengan jahat, ketika dikunjungi oleh pengguna dengan Autodesk Fusion Desktop berjalan dan ekstensi MCP diaktifkan, dapat memicu kerentanan dalam ekstensi MCP yang memungkinkan eksekusi kode arbitrer dengan hak istimewa pengguna saat ini. Skor CVSS adalah 9.6 Kritis. CVE diterbitkan pada 2026-06-22.
Mengapa penting
Autodesk Fusion banyak digunakan oleh insinyur dan desainer dalam alur kerja CAD/manufaktur yang ditingkatkan AI. Ekstensi MCP membuat Fusion menjadi permukaan tool-callable untuk agen LLM. Satu kunjungan halaman web berbahaya — tanpa interaksi lain — dapat mencapai RCE penuh pada tingkat hak istimewa pengguna, berpotensi mengompromi lingkungan lokal pengembang, kredensial, dan alur kerja agen AI apa pun yang terhubung.
Vektor serangan
Drive-by: korban mengunjungi halaman web yang dikendalikan penyerang sementara Autodesk Fusion dengan ekstensi MCP berjalan. Tidak ada interaksi pengguna tambahan yang diperlukan.
Sistem yang terdampak
Autodesk Fusion Desktop dengan ekstensi MCP diaktifkan
Mitigasi
Terapkan pembaruan Autodesk Fusion seperti yang dirilis. Nonaktifkan ekstensi MCP jika tidak diperlukan. Pantau penasihat keamanan Autodesk. Referensi CVE: https://www.cve.org/CVERecord?id=CVE-2026-10789