CISA добавила критическую уязвимость PTC Windchill PDMlink и PTC FlexPLM в каталог Known Exploited Vulnerabilities. The Hacker News пишет, что речь идёт о CVE-2026-12569 с оценкой CVSS 9.3: ошибке improper input validation, которая может позволить удалённое выполнение кода через вредоносный сетевой запрос.
Windchill и FlexPLM относятся к классу enterprise PDM/PLM-систем: они используются для управления продуктовой документацией, инженерными данными, жизненным циклом изделий и процессами разработки. Поэтому эксплуатация такой уязвимости особенно опасна не только для IT, но и для производственных, инженерных и промышленных организаций. Компрометация PLM может дать доступ к чертежам, спецификациям, workflow согласования и внутренним данным о продуктах.
По advisory PTC, уязвимость связана с десериализацией недоверенных данных. Патчи были выпущены на прошлой неделе, но 25 июня компания подтвердила, что продолжает получать сообщения о повышенной активности злоумышленников. В наблюдаемых атаках неизвестные операторы разворачивают JSP web shells на уязвимых системах. Такие web shells дают атакующему устойчивую точку входа на сервере и могут использоваться для команд, разведки, выгрузки файлов или дальнейшего движения по сети.
PTC опубликовала индикаторы компрометации. Среди них IP-адреса 172.111.38.31, 216.152.148.54, 104.243.35.131, 74.50.76.146 и 5.180.41.35, причём последний указан как attacker command-and-control address. Также названа типовая маска web shell-файлов: /Windchill/login/[0-9a-f]{16}.jsp. Отдельный признак — файл flst.txt в /tmp или рабочей директории Windchill, который может подтверждать активность по листингу файлов.
Рекомендации для администраторов достаточно конкретны: немедленно блокировать 5.180.41.35 на периметре, искать POST-запросы к /Windchill/login/*.jsp в HTTP access logs, сканировать файловую систему на JSP-файлы с 16 шестнадцатеричными символами в имени, проверять подозрительные JSP по опубликованному SHA-256, добавить WAF/IDS-правило для блокировки запросов с заголовком X-windchill-req и по возможности ограничить интернет-доступ к Windchill login endpoint.
Попадание CVE в KEV означает, что американские федеральные структуры должны действовать в заданные сроки, но практический сигнал шире: если Windchill доступен из интернета, ждать планового окна рискованно. Для частных компаний первоочередные шаги — обновление, поиск web shells, анализ логов за период до установки патча и проверка, не использовался ли сервер как стартовая точка для доступа к инженерным данным. В подобных PLM-инцидентах позднее обнаружение часто важнее самого первоначального RCE: злоумышленник может уйти из веб-слоя в документы, репозитории и файловые хранилища, где последствия становятся бизнес-проблемой.
Источник: The Hacker News, 26 июня 2026