무슨 일이 있었나
CVE-2026-12569 (CWE-20, CWE-502)는 PTC Windchill 및 FlexPLM 제품 수명 주기 관리 플랫폼에 영향을 미칩니다. 미인증 원격 공격자는 부적절한 입력 유효성 검사(CWE-502 역직렬화 경로 포함)를 악용하는 악성 네트워크 요청을 전송하여 임의의 코드 실행을 달성할 수 있습니다. CISA는 2026년 6월 25일 KEV 카탈로그에 취약점을 추가했으며 연방 필수 복구 마감일은 2026년 6월 28일입니다.
왜 중요한가
PTC Windchill은 광범위하게 배포된 PLM 시스템이며 제조 및 방위 산업에서 AI 기반 설계 도구, 디지털 쌍둥이 및 생성형 설계 플랫폼과 점점 더 통합되고 있습니다. PLM 플랫폼의 역직렬화를 통한 미인증 RCE는 공격자에게 AI 기반 엔지니어링 워크플로우, 독점 설계 데이터 및 제조 자동화 파이프라인에 직접 액세스할 수 있게 합니다. 3일 연방 패치 윈도우와 확인된 능동적 악용은 심각한 긴급성을 확인합니다.
공격 경로
미인증 공격자는 부적절한 입력 유효성 검사 및/또는 안전하지 않은 역직렬화를 악용하여 PTC 서버에서 원격 코드 실행을 달성하는 악성 네트워크 요청을 전송합니다.
영향받는 시스템
PTC Windchill 및 FlexPLM (공급업체 패치 릴리스 CS473270에 따른 모든 이전 버전)
완화 방안
PTC 지원 문서 CS473270에 따른 공급업체 완화를 적용하십시오: https://www.ptc.com/en/support/article/CS473270. CISA KEV: https://www.cisa.gov/known-exploited-vulnerabilities-catalog