CSIRT Toscana

PTC Windchill e FlexPLM: sfruttamento attivo in rete della CVE-2026-12569 (AL03/260630/CSIRT-ITA)

Data:
30 Giugno 2026

Impatto Sistemico

Critico (78.58)

Sintesi

Rilevato sfruttamento attivo in rete della CVE-2026-12569 – già sanata dal vendor – presente in PTC Windchill PDMLink e PTC FlexPLM note soluzioni software di tipo PLM (Product Lifecycle Management). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato rilevato lo sfruttamento attivo in rete della CVE-2026-12569 , vulnerabilità presente nei prodotti PTC Windchill PDMLink e PTC FlexPLM.

Tale vulnerabilità – con score CVSS v3.1 pari a 9.3 – è dovuta a a una gestione non sicura di dati non attendibili, in particolare a condizioni di improper input validation e deserializzazione di dati non fidati . Un attaccante remoto non autenticato potrebbe sfruttare la vulnerabilità inviando richieste appositamente predisposte verso un’istanza vulnerabile, ottenendo potenzialmente l’esecuzione di codice arbitrario nel contesto del server applicativo Windchill/FlexPLM. Inoltre il vendor ha segnalato attività malevola associata alla distribuzione di JSP webshell nella directory di login di Windchill, utilizzabili per esecuzione remota di comandi e possibile esfiltrazione di dati.

Prodotti e/o versioni affette

PTC Windchill PDMLink

  • versioni fino a 11.0 M030;
  • 11.1 M020;
  • 11.2.1.0;
  • 12.0.2.0;
  • 12.1.2.0;
  • 13.0.2.0;
  • 13.1.0.0;
  • 13.1.1.0;
  • 13.1.2.0;
  • 13.1.3.0.

PTC FlexPLM

  • versioni fino a 11.0 M030;
  • 11.1 M020;
  • 11.2.1.0;
  • 12.0.0.0;
  • 12.0.2.0;
  • 12.1.2.0;
  • 12.1.3.0;
  • 13.0.2.0;
  • 13.0.3.0.

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Riferimenti

CVE

CVE-ID
CVE-2026-12569

Indicatori di compromissione

Tipologia Indicatore
ip-src 104.243.35.131
ip-src 172.111.38.31
ip-src 216.152.148.54
ip-src 5.180.41.35
ip-src 74.50.76.146
filename|sha256 flst.txt | 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c
user-agent X-windchill-req: ?x8Fmgow

Change log

Versione Note Data
1.0 Pubblicato il 30-06-2026 30/06/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

30 Giugno 2026, 15:03