**PTC Inc.** está advirtiendo sobre una vulnerabilidad crítica en **Windchill** y **FlexPLM**, soluciones de gestión del ciclo de vida del producto (PLM) ampliamente utilizadas, que podría permitir la ejecución remota de código. El problema de seguridad, identificado como **CVE-2026-4681**, podría ser explotado a través de la deserialización de datos confiables. Su gravedad ha provocado una acción de emergencia por parte de las autoridades alemanas, y se informa que la policía federal (**BKA**) envió agentes a las empresas afectadas para alertarlas sobre el riesgo de ciberseguridad. ### Corrección en Desarrollo No hay parches oficiales disponibles, pero **PTC** afirma que está "desarrollando y lanzando activamente parches de seguridad para todas las versiones compatibles de **Windchill**" para abordar el problema. Según el proveedor, la falla afecta a la mayoría de las versiones compatibles de **Windchill** y **FlexPLM**, incluidas todas las versiones de conjuntos de parches críticos (CPS). Hasta que los parches estén disponibles, se recomienda a los administradores de sistemas que apliquen la regla de Apache/IIS proporcionada por el proveedor para denegar el acceso a la ruta del servlet afectada. **PTC** señaló que la mitigación no interrumpe la funcionalidad. La misma mitigación debe aplicarse a todos los despliegues, incluidos **Windchill**, **FlexPLM** y cualquier servidor de archivos/réplica, no solo a los sistemas expuestos a Internet. Sin embargo, **PTC** recomienda priorizar las mitigaciones en las instancias expuestas a Internet. Si la mitigación no es posible, el proveedor recomienda desconectar temporalmente las instancias afectadas de Internet o apagar el servicio. ### IoCs Disponibles La empresa dice que no ha encontrado ninguna evidencia de que la vulnerabilidad esté siendo explotada contra clientes de **PTC**. Sin embargo, **PTC** publicó un conjunto de indicadores de compromiso (IoCs) específicos que incluyen una cadena de agente de usuario y archivos. Además, el boletín enumera consejos de detección, que incluyen verificaciones de webshells (archivos GW.class, payload.bin o dpr_&lt;aleatorio&gt;.jsp), solicitudes sospechosas con patrones como run?p= / .jsp?c= combinados con actividad inusual del User-Agent, errores que hacen referencia a GW, GW_READY_OK o excepciones inesperadas del gateway. "La presencia de *GW.class* o *dpr_&lt;8-dígitos-hexadecimales&gt;.jsp* en el servidor Windchill indica que el atacante ha completado la preparación del sistema antes de realizar la ejecución remota de código (RCE)" - [PTC](https://www.ptc.com/en/about/trust-center/advisory-center/active-advisories/windchill-flexplm-critical-vulnerability#!) Además, en un correo electrónico a los clientes visto por BleepingComputer, la empresa dijo que "existe evidencia creíble de una amenaza inminente por parte de un grupo de terceros para explotar la vulnerabilidad". Según [Heise](https://www.heise.de/en/news/WTF-Police-responded-on-Saturday-night-due-to-a-zero-day-11221590.html), el **BKA** alertó a la policía local (LKA) que fue enviada durante el fin de semana para alertar a las empresas de todo el país sobre el riesgo de **CVE-2026-4681**, incluso a aquellas que no utilizaban ninguno de los productos afectados. El medio alemán informa que los agentes despertaron a los administradores de sistemas en medio de la noche para entregarles una copia de la notificación de **PTC**, y también alertaron a las oficinas estatales de investigación criminal (**LKA**) en varios estados federales. Esta respuesta inusual y urgente de las autoridades ha generado preocupaciones de que **CVE-2026-4681** pueda ser explotada o sea probable que se explote pronto. Dado que los sistemas PLM también son utilizados por empresas de ingeniería en el diseño de sistemas de armas, fabricación industrial y cadenas de suministro críticas, la respuesta de las autoridades podría justificarse por motivos de protección contra el espionaje industrial y otros riesgos de seguridad nacional. *Artículo actualizado el 25/03 para agregar corrección sobre la alerta del BKA a la LKA, basada en información recibida de reporteros de Heise.* <div><p><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a></p> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por qué el cifrado de ransomware cayó un 38%</a></h2> <p>El malware es cada vez más inteligente. El Red Report 2026 revela cómo las nuevas amenazas utilizan las matemáticas para detectar sandboxes y ocultarse a plena vista.</p> <p>Descargue nuestro análisis de 1.1 millones de muestras maliciosas para descubrir las 10 principales técnicas y ver si su pila de seguridad está ciega.</p> </div></div>