PTC Windchill e FlexPLM: sfruttamento attivo in rete della CVE-2026-12569 (AL03/260630/CSIRT-ITA)
Data:
30 Giugno 2026
Impatto Sistemico
Critico (78.58)
Sintesi
Rilevato sfruttamento attivo in rete della CVE-2026-12569 – già sanata dal vendor – presente in PTC Windchill PDMLink e PTC FlexPLM note soluzioni software di tipo PLM (Product Lifecycle Management). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Tipologia
Remote Code Execution
Descrizione e potenziali impatti
È stato rilevato lo sfruttamento attivo in rete della CVE-2026-12569 , vulnerabilità presente nei prodotti PTC Windchill PDMLink e PTC FlexPLM.
Tale vulnerabilità – con score CVSS v3.1 pari a 9.3 – è dovuta a a una gestione non sicura di dati non attendibili, in particolare a condizioni di improper input validation e deserializzazione di dati non fidati . Un attaccante remoto non autenticato potrebbe sfruttare la vulnerabilità inviando richieste appositamente predisposte verso un’istanza vulnerabile, ottenendo potenzialmente l’esecuzione di codice arbitrario nel contesto del server applicativo Windchill/FlexPLM. Inoltre il vendor ha segnalato attività malevola associata alla distribuzione di JSP webshell nella directory di login di Windchill, utilizzabili per esecuzione remota di comandi e possibile esfiltrazione di dati.
Prodotti e/o versioni affette
PTC Windchill PDMLink
- versioni fino a 11.0 M030;
- 11.1 M020;
- 11.2.1.0;
- 12.0.2.0;
- 12.1.2.0;
- 13.0.2.0;
- 13.1.0.0;
- 13.1.1.0;
- 13.1.2.0;
- 13.1.3.0.
PTC FlexPLM
- versioni fino a 11.0 M030;
- 11.1 M020;
- 11.2.1.0;
- 12.0.0.0;
- 12.0.2.0;
- 12.1.2.0;
- 12.1.3.0;
- 13.0.2.0;
- 13.0.3.0.
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.
1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2026-12569 |
Indicatori di compromissione
| Tipologia | Indicatore |
|---|---|
| ip-src | 104.243.35.131 |
| ip-src | 172.111.38.31 |
| ip-src | 216.152.148.54 |
| ip-src | 5.180.41.35 |
| ip-src | 74.50.76.146 |
| filename|sha256 | flst.txt | 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c |
| user-agent | X-windchill-req: ?x8Fmgow |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 30-06-2026 | 30/06/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
30 Giugno 2026, 15:03
CSIRT Toscana