De Duitse politie is afgelopen zaterdag bij meerdere bedrijven in het land langsgegaan om te waarschuwen voor een kritieke kwetsbaarheid in producten van PTC. Sommige systeembeheerders werden in de vroege ochtend gebeld of hadden een agent voor de deur staan, zo meldt het Duitse Heise. De Duitse politie bevestigt tegenover het medium dat het organisaties proactief voor het probleem heeft gewaarschuwd.

PTC levert software voor product lifecycle management (PLM) en product data management (PDM) bij industriële organisaties. Een kritieke kwetsbaarheid (CVE-2026-4681) in de oplossingen Windchill PDMLink en FlexPLM maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk. Met een CVSS3-impactscore van 10.0 heeft het beveiligingslek de maximale score die aan kwetsbaarheden wordt toegekend. Een beveiligingsupdate is vooralsnog niet beschikbaar. Wel kunnen organisaties verschillende mitigerende maatregelen nemen.

In het beveiligingsbulletin over de kwetsbaarheid stelt PTC dat er geen bevestigd misbruik van het beveiligingslek is waargenomen. Het bulletin bevat echter ook Indicators of Compromise (IoC's), informatie waarmee organisaties kunnen controleren of hun systemen zijn gecompromitteerd. IoC's worden gebaseerd op informatie die bij gehackte systemen is aangetroffen. Daarnaast wordt in het bulletin ook gewezen naar informatie waarbij wordt gezegd dat dit wijst op een volledig door aanvallers gehackt systeem, wat er op lijkt te duiden dat misbruik wel plaatsvindt.