何が起きたか
CVE-2026-12569(CWE-20、CWE-502)は PTC Windchill および FlexPLM プロダクトライフサイクル管理プラットフォームに影響します。認証されていないリモート攻撃者は、不適切な入力検証(CWE-502 などのデシリアライゼーションパスを含む)を悪用する悪意のあるネットワークリクエストを送信して、任意のコード実行を実現できます。CISA は 2026 年 6 月 25 日に脆弱性を KEV カタログに追加し、連邦強制的な軽減期限は 2026 年 6 月 28 日です。
なぜ重要か
PTC Windchill は、製造防衛セクターで AI 駆動型設計ツール、デジタルツイン、生成設計プラットフォームとますます統合されている広く展開されている PLM システムです。PLM プラットフォームでのデシリアライゼーションによる認証されていない RCE は、攻撃者に AI 支援エンジニアリングワークフロー、専有設計データ、製造自動化パイプラインへの直接アクセスを与える可能性があります。3 日間の連邦パッチウィンドウと確認された積極的な悪用は、急性緊急を確認します。
攻撃経路
認証されていない攻撃者は、不適切な入力検証および/または安全でないデシリアライゼーションを悪用する悪意のあるネットワークリクエストを送信して、PTC サーバーでリモートコード実行を実現します
影響を受けるシステム
PTC Windchill および FlexPLM(ベンダーパッチ適用リリース per CS473270 より前のすべてのバージョン)
緩和策
PTC サポート記事 CS473270 per ベンダー軽減を適用してください:https://www.ptc.com/en/support/article/CS473270。CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog