**PTC Inc.** warnt vor einer kritischen Schwachstelle in **Windchill** und **FlexPLM**, weit verbreiteten Product Lifecycle Management (PLM)-Lösungen, die eine Remote Code Execution ermöglichen könnte. Das Sicherheitsproblem, identifiziert als **CVE-2026-4681**, könnte durch die Deserialisierung vertrauenswürdiger Daten ausgenutzt werden. Seine Schwere hat zu Notfallmaßnahmen deutscher Behörden geführt, wobei die Bundespolizei (**BKA**) Berichten zufolge Agenten zu betroffenen Unternehmen entsandte, um sie auf das Cybersicherheitsrisiko aufmerksam zu machen. ### Behebung in Entwicklung Es gibt keine offiziellen Patches, aber **PTC** gibt an, dass es „aktiv Sicherheitspatches für alle unterstützten **Windchill**-Versionen entwickelt und veröffentlicht“, um das Problem zu beheben. Laut dem Anbieter betrifft der Fehler die meisten unterstützten Versionen von **Windchill** und **FlexPLM**, einschließlich aller Critical Patch Sets (CPS)-Versionen. Bis Patches verfügbar sind, wird Systemadministratoren empfohlen, die vom Anbieter bereitgestellte Apache/IIS-Regel anzuwenden, um den Zugriff auf den betroffenen Servlet-Pfad zu verweigern. **PTC** merkte an, dass die Abhilfemaßnahme die Funktionalität nicht beeinträchtigt. Dasselbe Abhilfemaßnahme sollte auf alle Bereitstellungen angewendet werden, einschließlich **Windchill**, **FlexPLM** und aller Datei-/Replika-Server, nicht nur auf internetseitige Systeme. **PTC** rät jedoch, Abhilfemaßnahmen auf internetseitigen Instanzen zu priorisieren. Wenn eine Abhilfemaßnahme nicht möglich ist, empfiehlt der Anbieter, die betroffenen Instanzen vorübergehend vom Internet zu trennen oder den Dienst herunterzufahren. ### IoCs verfügbar Das Unternehmen gibt an, keine Beweise dafür gefunden zu haben, dass die Schwachstelle gegen **PTC**-Kunden ausgenutzt wird. **PTC** hat jedoch eine Reihe spezifischer Indikatoren für Kompromittierung (IoCs) veröffentlicht, darunter eine User-Agent-Zeichenkette und Dateien. Zusätzlich listet das Bulletin Erkennungshinweise auf, darunter Überprüfungen auf Webshells (GW.class, payload.bin oder dpr_&lt;zufällig&gt;.jsp-Dateien), verdächtige Anfragen mit Mustern wie run?p= / .jsp?c= in Kombination mit ungewöhnlicher User-Agent-Aktivität, Fehler, die sich auf GW, GW_READY_OK oder unerwartete Gateway-Ausnahmen beziehen. "Die Anwesenheit von *GW.class* oder *dpr_&lt;8-hex-digits&gt;.jsp* auf dem Windchill-Server deutet darauf hin, dass der Angreifer die Waffe auf dem System bereits eingesetzt hat, bevor er eine Remote Code Execution (RCE) durchführt" - [PTC](https://www.ptc.com/en/about/trust-center/advisory-center/active-advisories/windchill-flexplm-critical-vulnerability#!) Darüber hinaus teilte das Unternehmen in einer E-Mail an Kunden, die BleepingComputer vorlag, mit, dass „glaubwürdige Beweise für eine unmittelbare Bedrohung durch eine Drittpartei zur Ausnutzung der Schwachstelle vorliegen.“ Laut [Heise](https://www.heise.de/en/news/WTF-Police-responded-on-Saturday-night-due-to-a-zero-day-11221590.html) alarmierte das **BKA** die Landeskriminalämter (LKA), die am Wochenende entsandt wurden, um Unternehmen bundesweit auf das Risiko von **CVE-2026-4681** aufmerksam zu machen, selbst solche, die keine der betroffenen Produkte nutzten. Das deutsche Medium berichtet, dass die Beamten Systemadministratoren mitten in der Nacht weckten, um ihnen eine Kopie der Mitteilung von **PTC** zu übergeben, und auch die Landeskriminalämter in verschiedenen Bundesländern informierten. Diese ungewöhnliche und dringende Reaktion der Behörden hat Bedenken ausgelöst, dass **CVE-2026-4681** ausgenutzt werden könnte oder wahrscheinlich bald ausgenutzt wird. Da PLM-Systeme auch von Ingenieurbüros im Bereich Waffensystemdesign, industrielle Fertigung und kritische Lieferketten genutzt werden, könnte die Reaktion der Behörden zum Schutz vor Industriespionage und anderen nationalen Sicherheitsrisiken gerechtfertigt sein. *Artikel aktualisiert am 25.03. zur Korrektur der Information, dass das BKA die LKA informierte, basierend auf Informationen von Heise-Reportern.* <div><p><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a></p> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Warum Ransomware-Verschlüsselung um 38 % zurückging</a></h2> <p>Malware wird intelligenter. Der Red Report 2026 enthüllt, wie neue Bedrohungen Mathematik nutzen, um Sandboxes zu erkennen und sich im Verborgenen zu halten.</p> <p>Laden Sie unsere Analyse von 1,1 Millionen bösartigen Samples herunter, um die Top-10-Techniken aufzudecken und zu sehen, ob Ihr Sicherheitspaket blind ist.</p> </div></div>