PTC
工業應用軟體廠商PTC近日發布安全公告,揭露旗下產品生命週期管理系統Windchill與FlexPLM存在重大漏洞,可能導致攻擊者藉此發動遠端執行任意程式碼攻擊,由於目前尚無修補程式,建議用戶立即採取緩解措施。
PTC揭露的這個漏洞編號是CVE-2026-4681,CVSS 3.1嚴重性等級為滿分10分,屬於CWE-94程式碼注入(Code Injection)弱點,攻擊者可透過不受信任資料反序列化(deserialization of untrusted data)從遠端執行程式碼。
這個漏洞會影響Windchill與FlexPLM等2款產品生命週期管理軟體,包括這2款軟體的11.x、12.x與13.x版。PTC表示修補漏洞的更新程式仍在開發中,在他們發布修補之前,建議用戶立即採取公告中列出的緩解措施,包括套用PTC提出的Apache與IIS HTTP伺服器設定。
綜觀國外各資安媒體對PTC這個漏洞公告的報導,我們發現資安媒體BleepingComputer特別提及德國警方為此展開行動。BleepingComputer引述德國媒體Heise的報導指出,德國聯邦刑事警察局(BKA)要求各地方警察派員前往德國受影響的多家企業,逐一分發PTC的公告,提醒他們注意CVE-2026-4681漏洞的風險,也通知了各聯邦州的州刑事調查局(LKA)。
無論是軟體廠商發布產品漏洞公告,或是警方派員通知企業安全風險,獨立來看都事屬尋常,但警方為了軟體廠商的某個資安漏洞,而特地派員前往多家企業通知,此舉極不尋常。而這種公共安全組織介入網路資安事件處理的作為,我們推測PTC原廠與德國警方可能已掌握攻擊者即將利用這個漏洞發動攻擊的情資,因而派員前往各企業用戶通知,防範未然,避免關鍵製造業受到衝擊。
