脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 9.8 KEV 悪用確認
CVE-2026-12569

PTC Windchill / FlexPLM 不適切な入力検証(未認証 RCE)

CVE IDCVE-2026-12569
製品PTC / Windchill / FlexPLM
CVSS9.8(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
種別 (CWE)CWE-502 信頼できないデータのデシリアライズ
登録/公開日2026/06/25
KEV 期限2026/06/28 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-12569

概要

PTC Windchill PDMlink および FlexPLM の信頼できないデータのデシリアライズに起因する脆弱性。未認証のリモート攻撃者が悪意あるリクエストで任意コード実行に至る。複数バージョンが影響を受ける。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2/ECS 上の Windchill/FlexPLM を PTC 提供の修正版へ更新
自己管理エンタープライズアプリ。AWS 固有の修正提供はなく利用者側で適用。修正版番号は PTC 公式で要確認。
参照リンク
GCP パッチあり(アプリ更新)
GCE/GKE 上の Windchill/FlexPLM を修正版へ更新
GCP 固有の修正提供は確認できず。利用者側で適用。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM 上の Windchill/FlexPLM を修正版へ更新
Azure 固有の修正提供は確認できず。利用者側で適用。
参照リンク
Linux パッチあり(アプリ更新)
Linux 上の Windchill/FlexPLM を PTC 修正版へ更新
PTC 独自製品。ディストリのパッケージ対象外、PTC 公式更新を適用。
参照リンク

解決の方向性(パッチ/回避策/代替)

PTC 公式アドバイザリに従い修正版へアップグレードするのが基本方針。外部公開を制限し、確認できた修正版へ速やかに更新する。具体的な修正ビルド番号は PTC 公式の案内を確認のこと。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る