Er is voor het eerst een kwetsbaarheid in PTC Windchill in het wild geëxploiteerd. Deze kwetsbaarheid, geregistreerd als CVE-2026-12569, treft de Windchill en FlexPLM producten van PTC. Door een fout in de inputvalidatie kan een externe, niet-geauthenticeerde aanvaller via speciaal opgemaakte verzoeken willekeurige code uitvoeren.

De Amerikaanse cybersecurityorganisatie CISA heeft deze kwetsbaarheid toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus en adviseert federale instanties om de kwetsbaarheid uiterlijk 28 juni te verhelpen. PTC bracht op 17 juni patches en mitigaties uit en publiceerde de volgende dag indicatoren van compromittering (IoC's). Aanvallers maken gebruik van deze kwetsbaarheid om persistente JSP-webshells te installeren, waarmee zij op afstand commando's kunnen uitvoeren en data kunnen exfiltreren.

Hoewel het onbekend is wie achter de aanvallen zit, waarschuwde PTC recent voor een toegenomen dreigingsactiviteit. Duitse autoriteiten meldden kort voor de bevestiging van exploitatie dat zij organisaties al hadden gewaarschuwd voor de dreiging van aanvallen op PTC Windchill, naar aanleiding van een eerdere kwetsbaarheid (CVE-2026-4681) die nog niet actief werd misbruikt.

Windchill wordt breed ingezet binnen industriële en productieomgevingen, waaronder de automobiel-, luchtvaart-, defensie- en zware machinebouwsector. De actieve exploitatie van deze kwetsbaarheid vormt daardoor een serieuze bedreiging voor kritieke toeleveringsketens en operationele technologieomgevingen.