米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、PTCが開発する製品ライフサイクル管理(PLM)ソフトウェアプラットフォームであるWindchillおよびFlexPLMに存在する脆弱性(CVE-2026-12569)を、既知の悪用された脆弱性(KEV)カタログに追加しました。
KEVカタログのエントリには悪用事例へのリンクは含まれていませんが、PTCのアドバイザリは侵害の痕跡(IoC)や防御者向けの推奨事項とともに継続的に更新されており、攻撃者が脆弱なシステムにJSP Webシェルを設置していることが確認されています。
CISAは米国連邦民間政府機関に対し、6月28日までにCVE-2026-12569への対処を命じましたが、これら2つのPLMプラットフォームを使用するすべての組織は、未適用の場合は速やかにパッチを適用し、侵害の痕跡が存在しないか確認することが求められます。
CVE-2026-12569を悪用したPTC Windchillへの攻撃
WindchillはPTCの製造・エンジニアリング集約型産業向けPLMプラットフォームであり、FlexPLMは小売・フットウェア・アパレル・消費財業界向けのPLMプラットフォームです。
CVE-2026-12569は不適切な入力検証の脆弱性であり、認証されていないリモート攻撃者がネットワークに悪意あるリクエストを送信するだけで任意のコードを実行できてしまいます。
PTCは6月17日にこの脆弱性を警告して修正手順を提示し、翌6月18日にはパッチをリリースするとともに、実際の環境での悪用を確認したことを公表しました。その後まもなく、追加バージョン向けのパッチも順次リリースされています。
ドイツのニュースメディアHeise Onlineは、6月17日頃、ドイツ連邦情報セキュリティ庁(BSI)がドイツ企業に対して「脆弱なWindchillインスタンスへの差し迫ったサイバー攻撃」を警告し、パッチ適用の確認を強く促し始めたと報じています。
興味深いことに、BSIを代理した連邦犯罪捜査局(BKA)は2026年3月下旬にもドイツ企業に同様の警告を行っていました。このとき、同じ2つのプラットフォームにおけるコードインジェクション脆弱性(CVE-2026-4681)が公開されていました。
CVE-2026-4681もリモートコード実行を可能にするものであり、関連するアドバイザリに掲載されている侵害の痕跡は、この脆弱性もすでに実際に悪用されていたことを示唆しています。ただし、アドバイザリでは現在も「PTCの顧客に影響を与えた悪用が確認された証拠はない」と記載されています。
翻訳元: https://www.helpnetsecurity.com/2026/06/29/ptc-windchill-cve-2026-12569-exploited/
