CISA KEV: CVE-2026-12569 no PTC Windchill e FlexPLM adicionado ao catálogo de vulnerabilidades exploradas ativamente

<p>A CISA adicionou em 25 de junho de 2026 a <strong>CVE-2026-12569</strong> ao seu catálogo de <em>Known Exploited Vulnerabilities</em> (KEV), confirmando exploração ativa desta falha crítica nos produtos <strong>PTC Windchill</strong> e <strong>PTC FlexPLM</strong>.</p>

<h2>Detalhes da vulnerabilidade</h2> <ul> <li><strong>CVE:</strong> CVE-2026-12569</li> <li><strong>Tipo:</strong> Improper Input Validation (validação de entrada imprópria)</li> <li><strong>Impacto:</strong> Execução remota de código (RCE) por atacante não autenticado via requisição maliciosa à rede</li> <li><strong>Produtos afetados:</strong> PTC Windchill, PTC FlexPLM (múltiplas versões suportadas)</li> <li><strong>Status KEV:</strong> Adicionado em 25/06/2026 — exploração ativa confirmada</li> </ul>

<h2>Contexto e impacto</h2> <p>O PTC Windchill é um software de <em>Product Lifecycle Management</em> (PLM) amplamente utilizado em indústrias de manufatura avançada, sistemas de defesa, aeroespacial e cadeias de suprimentos críticas. A exploração desta categoria de software representa risco elevado para organizações com propriedade intelectual sensível.</p>

<p>Esta vulnerabilidade é distinta da CVE-2026-4681 (desserialização de dados, março de 2026) que anteriormente mobilizou autoridades policiais alemãs para alertar empresas pessoalmente sobre riscos iminentes na mesma família de produtos PTC.</p>

<h2>Ação recomendada</h2> <p>Conforme a Diretiva Operacional Vinculante (BOD) 26-04 da CISA, agências federais dos EUA têm prazo obrigatório para aplicar correções ou mitigações disponibilizadas pela PTC. Organizações do setor privado devem priorizar a atualização imediata dos sistemas Windchill e FlexPLM expostos.</p>