Die Schwachstelle CVE-2026-4681 betrifft nach Angaben von PTC die meisten unterstützten Versionen von Windchill und FlexPLM, einschließlich aller Critical-Patch-Set-Versionen (CPS). Ausnutzbar ist sie über die Deserialisierung vertrauenswürdiger Daten und ermöglicht die Ausführung von beliebigem Code aus der Ferne.
Da offizielle Patches noch fehlen, empfiehlt PTC den Administratoren, bis zur Verfügbarkeit der Updates eine vom Hersteller bereitgestellte Apache- bzw. IIS-Regel anzuwenden, die den Zugriff auf den betroffenen Servlet-Pfad blockiert. Die Funktionalität werde dadurch nicht beeinträchtigt. Die Maßnahme soll auf allen Installationen greifen – Windchill, FlexPLM sowie sämtliche Datei- und Replica-Server –, nicht nur auf aus dem Internet erreichbaren Systemen. Vorrang räumt PTC dabei den über das Internet erreichbaren Instanzen ein. Ist eine Absicherung nicht möglich, rät der Hersteller, die betroffenen Instanzen vorübergehend vom Internet zu trennen oder den Dienst abzuschalten.
Nach eigenen Angaben hat PTC keine Belege dafür gefunden, dass die Schwachstelle bereits gegen Kunden ausgenutzt wird. Dennoch veröffentlichte das Unternehmen konkrete Kompromittierungsindikatoren (IoCs), darunter eine User-Agent-Zeichenfolge sowie verdächtige Dateien. Das Sicherheitsbulletin nennt zudem Hinweise zur Erkennung: Prüfungen auf Webshells (Dateien wie GW.class, payload.bin oder dpr_<zufällig>.jsp), auffällige Anfragen mit Mustern wie run?p= oder .jsp?c= in Verbindung mit ungewöhnlicher User-Agent-Aktivität sowie Fehlermeldungen, die auf GW, GW_READY_OK oder unerwartete Gateway-Ausnahmen verweisen.
Laut PTC zeigt das Vorhandensein von GW.class oder einer dpr_<8-stellige-Hexziffern>.jsp-Datei auf dem Windchill-Server an, dass ein Angreifer die Vorbereitung auf dem System bereits abgeschlossen hat, bevor er zur Codeausführung übergeht. In der von BleepingComputer eingesehenen Kundenmail erklärt das Unternehmen, es gebe glaubhafte Hinweise auf eine unmittelbare Bedrohung durch eine dritte Gruppe, die die Lücke ausnutzen wolle.
Wie Heise berichtet, wurden BKA-Beamte über das Wochenende ausgesandt, um Unternehmen bundesweit auf das Risiko durch CVE-2026-4681 hinzuweisen – teils auch solche, die keines der betroffenen Produkte einsetzen. Dem Bericht zufolge weckten die Ermittler Administratoren mitten in der Nacht, um ihnen eine Kopie der PTC-Mitteilung auszuhändigen, und informierten die Landeskriminalämter (LKA) verschiedener Bundesländer.
Diese ungewöhnlich dringliche Reaktion der Behörden nährt die Sorge, dass CVE-2026-4681 ausgenutzt wird oder bald ausgenutzt werden dürfte. Da PLM-Systeme auch von Ingenieurbüros bei der Konstruktion von Waffensystemen, in der industriellen Fertigung und in kritischen Lieferketten verwendet werden, lässt sich das behördliche Vorgehen mit dem Schutz vor Industriespionage und weiteren Risiken für die nationale Sicherheit begründen.
