الثغرات ›

CVE-2026-0659

مرتفع

A maliciously crafted USD file, when loaded or imported into Autodesk Arnold or Autodesk 3ds Max, can force an Out-of-Bounds Write vulnerability. A malicious actor can leverage this vulnerability to e

CWE-787 — نوع الضعف

                    نُشر: Feb 4, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2026-0659 is a high-severity out-of-bounds write vulnerability in Autodesk Arnold and 3ds Max triggered by maliciously crafted USD files. Successful exploitation allows arbitrary code execution with process-level privileges. While no public exploit is currently available, the vulnerability poses significant risk to organizations using these 3D rendering and modeling tools, particularly in media, design, and engineering sectors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 28, 2026 09:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations in media production, architectural visualization, engineering design, and entertainment sectors are at risk. Government entities using 3D modeling for urban planning and infrastructure projects, private sector companies in construction and real estate visualization, and educational institutions teaching 3D design are vulnerable. The vulnerability could enable supply chain attacks through compromised USD asset files shared across design teams, particularly impacting organizations collaborating with international studios.

🏢 القطاعات السعودية المتأثرة

Media and Entertainment Architecture and Engineering Construction and Real Estate Government (Urban Planning) Education and Training Product Design and Manufacturing Advertising and Marketing

🎯 تقنيات MITRE ATT&CK

T1204.002 - User Execution: Malicious File T1566.001 - Phishing: Spearphishing Attachment T1190 - Exploit Public-Facing Application T1203 - Exploitation for Client Execution T1059.001 - Command and Scripting Interpreter: PowerShell

⚖️ درجة المخاطر السعودية (AI)

7.2

/ 10.0

🔧 Remediation Steps (English)

1. IMMEDIATE ACTIONS:

   - Identify all systems running Autodesk Arnold or 3ds Max

   - Restrict file import capabilities to trusted sources only

   - Disable automatic USD file loading in application settings

   - Implement network segmentation for workstations running these applications



2. PATCHING:

   - Apply Autodesk security patches immediately upon availability

   - Prioritize patching for systems handling external or untrusted USD files

   - Test patches in non-production environments first



3. COMPENSATING CONTROLS:

   - Implement application whitelisting to prevent unauthorized code execution

   - Use file integrity monitoring on USD file directories

   - Restrict user privileges to least-privilege accounts

   - Disable macros and scripting features if not required



4. DETECTION:

   - Monitor for unexpected process spawning from Arnold/3ds Max processes

   - Alert on USD file imports from external sources

   - Track file access patterns to USD asset libraries

   - Monitor for unusual memory access patterns or crashes in these applications

🔧 خطوات المعالجة (العربية)

1. الإجراءات الفورية:

   - تحديد جميع الأنظمة التي تقوم بتشغيل Autodesk Arnold أو 3ds Max

   - تقييد قدرات استيراد الملفات للمصادر الموثوقة فقط

   - تعطيل تحميل ملفات USD التلقائي في إعدادات التطبيق

   - تنفيذ تقسيم الشبكة لمحطات العمل التي تقوم بتشغيل هذه التطبيقات



2. التصحيح:

   - تطبيق تصحيحات أمان Autodesk فوراً عند توفرها

   - إعطاء الأولوية لتصحيح الأنظمة التي تتعامل مع ملفات USD الخارجية أو غير الموثوقة

   - اختبار التصحيحات في بيئات غير الإنتاج أولاً



3. الضوابط البديلة:

   - تنفيذ قائمة بيضاء للتطبيقات لمنع تنفيذ الكود غير المصرح به

   - استخدام مراقبة سلامة الملفات على دلائل ملفات USD

   - تقييد امتيازات المستخدم للحسابات ذات الامتيازات الأقل

   - تعطيل وحدات الماكروس والبرامج النصية إذا لم تكن مطلوبة



4. الكشف:

   - مراقبة عمليات غير متوقعة تنبثق من عمليات Arnold/3ds Max

   - تنبيهات على استيراد ملفات USD من مصادر خارجية

   - تتبع أنماط الوصول إلى ملفات USD

   - مراقبة أنماط الوصول إلى الذاكرة غير العادية أو الأعطال في هذه التطبيقات

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 - Information Security Policies and Procedures 5.2.1 - Access Control and Authentication 5.3.1 - Cryptography and Data Protection 5.4.1 - System and Communications Protection 5.5.1 - Incident Management

🔵 SAMA CSF

ID.AM-2 - Software Inventory PR.AC-1 - Access Control PR.PT-1 - Security Awareness and Training DE.CM-1 - Network Monitoring RS.MI-1 - Incident Response Planning

🟡 ISO 27001:2022

A.5.1.1 - Policies for information security A.6.1.1 - Information security roles and responsibilities A.8.1.1 - User endpoint devices A.8.2.1 - Privileged access rights A.12.2.1 - Restrictions on software installation A.12.6.1 - Management of technical vulnerabilities

🔗 المراجع والمصادر 3

🔗

https://github.com/Autodesk/arnold-usd

psirt@autodesk.com

🔗

https://www.autodesk.com/products/autodesk-access/overview

psirt@autodesk.com

🔗

https://www.autodesk.com/trust/security-advisories/adsk-sa-2026-0003

psirt@autodesk.com

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-787

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-04

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

7.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-787

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-0659

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب