Im Zentrum der Warnung steht CVE-2026-12569, eine als kritisch eingestufte Schwachstelle in PTC Windchill PDMlink und PTC FlexPLM. CISA begründet die Aufnahme in den KEV-Katalog mit Nachweisen für eine aktive Ausnutzung. Der Eintrag macht die Lücke zugleich zur ersten Schwachstelle in einem PTC-Produkt, die überhaupt in diesen Katalog aufgenommen wurde.
PTC beschreibt die Ursache als unzureichende Eingabevalidierung. Ein Angreifer könne durch das Senden einer präparierten Anfrage an das Netzwerk beliebigen Code ausführen. In einem Sicherheitshinweis ergänzt der Hersteller, dass es sich um eine Remotecodeausführung handelt, die über die Deserialisierung nicht vertrauenswürdiger Daten möglich sei.
Für CVE-2026-12569 nennt der Hersteller einen CVSS-Wert von 9,3. Sicherheitsupdates gegen die Lücke hatte PTC bereits in der vergangenen Woche bereitgestellt. Trotz dieser Patches meldete das Unternehmen mit Stand vom 25. Juni weiter eingehende Berichte über eine erhöhte Bedrohungslage.
Nach Angaben von PTC nutzen unbekannte Angreifer die Schwachstelle, um JSP-Web-Shells auf verwundbaren Systemen abzulegen. Der Hersteller hat im Zusammenhang mit diesen Aktivitäten auch Kompromittierungsindikatoren veröffentlicht. Zudem empfiehlt PTC Gegenmaßnahmen, ohne dass der vorliegende Bericht diese im Detail aufführt.
Die Aufnahme in den KEV-Katalog unterstreicht, dass die Schwachstelle nicht nur theoretisch relevant ist, sondern bereits praktisch missbraucht wird. Zugleich zeigt der Fall, wie schnell Bedrohungsakteure neu offengelegte Schwachstellen für eigene Angriffe nutzbar machen.