**PTC Inc.** está alertando sobre uma vulnerabilidade crítica em **Windchill** e **FlexPLM**, soluções amplamente utilizadas de gerenciamento do ciclo de vida do produto (PLM), que poderia permitir a execução remota de código. O problema de segurança, identificado como **CVE-2026-4681**, poderia ser explorado através da desserialização de dados confiáveis. Sua gravidade levou a uma ação de emergência por parte das autoridades alemãs, com a polícia federal (**BKA**) supostamente enviando agentes a empresas afetadas para alertá-las sobre o risco de cibersegurança. ### Correção em Desenvolvimento Não há patches oficiais disponíveis, mas a **PTC** afirma que está "desenvolvendo e lançando ativamente patches de segurança para todas as versões suportadas do **Windchill**" para resolver o problema. De acordo com o fornecedor, a falha afeta a maioria das versões suportadas do **Windchill** e **FlexPLM**, incluindo todas as versões de critical patch sets (CPS). Até que os patches estejam disponíveis, recomenda-se que os administradores de sistema apliquem a regra Apache/IIS fornecida pelo fornecedor para negar acesso ao caminho do servlet afetado. A **PTC** observou que a mitigação não afeta a funcionalidade. A mesma mitigação deve ser aplicada a todas as implantações, incluindo **Windchill**, **FlexPLM** e quaisquer servidores de arquivos/réplica, não apenas sistemas voltados para a internet. No entanto, a **PTC** aconselha priorizar as mitigações em instâncias voltadas para a internet. Se a mitigação não for possível, o fornecedor recomenda desconectar temporariamente as instâncias afetadas da internet ou desligar o serviço. ### IoCs Disponíveis A empresa afirma que não encontrou nenhuma evidência de que a vulnerabilidade esteja sendo explorada contra clientes da **PTC**. No entanto, a **PTC** publicou um conjunto de indicadores de comprometimento (IoCs) específicos que incluem uma string de user agent e arquivos. Adicionalmente, o boletim lista conselhos de detecção, incluindo verificações de webshells (arquivos GW.class, payload.bin ou dpr_&lt;aleatório&gt;.jsp), requisições suspeitas com padrões como run?p= / .jsp?c= combinados com atividade incomum de User-Agent, erros referenciando GW, GW_READY_OK, ou exceções inesperadas de gateway. "A presença do *GW.class* ou *dpr_&lt;8-dígitos-hexadecimais&gt;.jsp* no servidor Windchill indica que o atacante completou a armaçãono sistema antes de realizar a execução remota de código (RCE)" - [PTC](https://www.ptc.com/en/about/trust-center/advisory-center/active-advisories/windchill-flexplm-critical-vulnerability#!) Adicionalmente, em um e-mail para clientes visto pelo BleepingComputer, a empresa disse que "há evidências críveis de uma ameaça iminente por um grupo de terceiros para explorar a vulnerabilidade". De acordo com [Heise](https://www.heise.de/en/news/WTF-Police-responded-on-Saturday-night-due-to-a-zero-day-11221590.html), o **BKA** alertou a polícia local (LKA) que foi despachada durante o fim de semana para alertar empresas em todo o país sobre o risco da **CVE-2026-4681**, mesmo algumas que não utilizavam nenhum dos produtos afetados. O veículo alemão relata que os agentes acordaram administradores de sistemas no meio da noite para entregar uma cópia da notificação da **PTC**, e também alertaram os escritórios estaduais de investigação criminal (**LKA**) em vários estados federais. Essa resposta incomum e urgente das autoridades gerou preocupações de que a **CVE-2026-4681** possa ser explorada ou provavelmente será explorada em breve. Dado que os sistemas PLM também são usados por empresas de engenharia no projeto de sistemas de armas, manufatura industrial e cadeias de suprimentos críticas, a resposta das autoridades pode ser justificada com base na proteção contra espionagem industrial e outros riscos de segurança nacional. *Artigo atualizado em 25/03 para adicionar correção sobre o BKA alertar o LKA, com base em informações recebidas de repórteres do Heise.* <div><p><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a></p> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por que a Criptografia de Ransomware Caiu 38%</a></h2> <p>Malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.</p> <p>Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.</p> </div></div>