무슨 일이 있었나
악의적으로 제작된 웹페이지를 Autodesk Fusion Desktop이 실행 중이고 MCP 확장이 활성화된 사용자가 방문할 때, MCP 확장의 취약점을 트리거하여 현재 사용자의 권한으로 임의 코드 실행을 허용할 수 있습니다. CVSS 점수는 9.6 심각입니다. CVE는 2026-06-22에 발행되었습니다.
왜 중요한가
Autodesk Fusion은 AI 강화된 CAD/제조 워크플로우에서 엔지니어 및 디자이너들이 널리 사용합니다. MCP 확장은 Fusion을 LLM 에이전트가 호출할 수 있는 도구 표면으로 만듭니다. 단 하나의 악성 웹페이지 방문으로(다른 상호 작용 없이) 사용자의 권한 수준에서 완전한 RCE를 달성할 수 있으며, 개발자의 로컬 환경, 자격증명, 연결된 AI 에이전트 워크플로우를 손상시킬 수 있습니다.
공격 경로
드라이브-바이: 피해자가 Autodesk Fusion과 MCP 확장이 실행 중인 동안 공격자가 제어하는 웹페이지를 방문합니다. 추가 사용자 상호 작용이 필요하지 않습니다.
영향받는 시스템
MCP 확장이 활성화된 Autodesk Fusion Desktop
완화 방안
릴리스되는 Autodesk Fusion 업데이트를 적용하세요. 필요하지 않은 경우 MCP 확장을 비활성화하세요. Autodesk 보안 공지를 모니터링하세요. CVE 참고: https://www.cve.org/CVERecord?id=CVE-2026-10789