製造業の PLM (製品ライフサイクル管理) で広く使われる PTC Windchill / FlexPLM に存在する重大度 9.3 のリモートコード実行脆弱性 CVE-2026-12569 を、攻撃者が JSP Web シェルの投入と維持に悪用しているとセキュリティリサーチャーが報告しました。米 CISA は 6 月 25 日に同脆弱性を Known Exploited Vulnerabilities カタログへ追加し、連邦機関へ 6 月 28 日までの修正適用を命じています。
主なポイント
- CVE-2026-12569 は信頼できないデータの逆シリアライズに起因する RCE で、認証不要のリモート攻撃者が細工したリクエストにより root 権限相当でコマンド実行可能
- PTC が 6 月 18 日に開示。影響範囲は 11.0 以前の全バージョンと 11.1 / 11.2 / 12.0 / 12.1 / 13.0 系の複数版で、PLM 製品としては「初」の実環境悪用と確認された
- 攻撃者は
/Windchill/login/[0-9a-f]{16}.jsp形式の 16 文字 16 進数ファイル名で Web シェルを配置し、永続的なコマンド実行・データ持ち出しを可能にする - 機微な設計データ・図面・部品表 (BOM) を扱う製造業システムが標的になっており、知財・サプライチェーン情報の流出リスクが高い
- PTC は修正版を公開済み。Windchill 運用組織は緊急で適用と、ログ内
POST /Windchill/login/[0-9a-f]{16}.jspパターンの有無確認が推奨される
出典: CISA Adds Exploited PTC Windchill RCE Flaw to KEV as Web Shell Attacks Continue - The Hacker News