Dassault - CVE-2026-3476

Date de publication :

Il s'agit d'une vulnérabilité dans SOLIDWORKS Desktop.

SOLIDWORKS Desktop est un logiciel de CAO 3D utilisé sur poste de travail pour la conception, la modélisation et l’ingénierie de produits industriels.

Le logiciel traite un fichier spécialement conçu de manière non sûre lors de son ouverture sur le poste utilisateur. Le défaut est qualifié par l’éditeur comme une injection de code. L’attaque ne nécessite aucun privilège préalable mais demande une interaction utilisateur consistant à ouvrir le fichier piégé. L’exécution se produit sur la machine de l’utilisateur dans le contexte local du poste.

Elle permet l’exécution de code arbitraire sur la machine de l’utilisateur.

CVE-2026-3476

[Score CVSS v3.1 : 7.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code (Code Injection)

Détails sur l'exploitation
•   Vecteur d'attaque : Local
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

SOLIDWORKS Desktop versions Release 2025 jusqu’à Release 2026.

Solutions ou recommandations

Voir les remédiations sur le bulletin Dassault Systèmes

Liens