Zum Inhalt springen

PTC Windchill: Kritische Remote-Code-Execution-Lücke in aktiver Ausnutzung

Auf den Punkt: Die kritische Deserialisierungslücke CVE-2026-12569 in PTC Windchill PDMLink wird aktiv ausgenutzt; Angreifer installieren Web-Shells und zielen auf sensible Konstruktions- und Ingenieurdaten in Verteidigung, Luftfahrt und Automobil ab.

Angreifer nutzen derzeit eine als CVE-2026-12569 eingestufte Sicherheitslücke in PTC Windchill und FlexPLM aus, zwei PLM-Systemen mit über 1,5 Millionen Nutzern weltweit. Die Schwachstelle ermöglicht Remote-Code-Execution und wird mit CVSS 9.3 bewertet.

Die Schwachstelle CVE-2026-12569 betrifft die webbasierte Komponente PDMLink von Windchill und ist eine Unsafe-Deserialization-Lücke mit der CVSS-Bewertung 9.3. Sie ermöglicht Remote-Code-Execution ohne Authentifizierung. PTC informierte Kunden am 17. Juni und veröffentlichte daraufhin Patches für die Versionen 13.1.1, 13.0.2, 12.1.2, 12.0.2, 11.2.1, 11.1 M020 und 11.0 M030.

PTC warnte am folgenden Donnerstag vor erhöhter Bedrohungsaktivität und aktualisierte Indikatoren für Kompromittierungen. Berichte zeigen, dass Angreifer Web-Shells auf kompromittierten Instanzen bereitstellen, um persistente Backdoor-Zugriffe zu etablieren. Am selben Tag fügte die US Cybersecurity and Infrastructure Security Agency (CISA) die Lücke in ihren Katalog bekannt ausgebeuteter Schwachstellen auf.

PLM-Systeme sind für Unternehmen kritisch: Sie verwalten den gesamten Produktlebenszyklus von der Konstruktion bis zur Pensionierung und speichern CAD-Designs, Stücklisten, Engineering-Daten und Workflows. Windchill ist seit 28 Jahren im Einsatz und wird von Konzernen wie BMW, Lockheed Martin, Boeing und NVIDIA eingesetzt. FlexPLM ist eine Variante für Einzelhandel, Textil, Schuhindustrie und Consumer-Goods.

Aktive Exploits von PLM-Software sind selten, aber nachvollziehbar: Die Systeme enthalten hochsensible Intellectual Property und sitzen in Branchen wie Verteidigung und Luftfahrt, die für Cyber-Spionage und Erpressung attraktiv sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits im März vor einer anderen Windchill-Zero-Day-Lücke und informierte deutsche Unternehmen persönlich in der Nacht, weil zuverlässige Informationen über geplante Cyberangriffe vorlagen.


Quelle: www.csoonline.com · Erschienen 27. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: