CVE-2026-12569

Суть уязвимости

Уязвимость CVE-2026-12569 вызвана недостаточной валидацией входных данных (Improper Input Validation) в решениях PTC Windchill и FlexPLM.

Неавторизованный удаленный злоумышленник может отправить специально сформированный сетевой запрос к веб-интерфейсу или API системы.

Успешная эксплуатация позволяет выполнить произвольный код (RCE) на целевом сервере с правами учетной записи, под которой запущен сервис Windchill, что может привести к полной компрометации конфиденциальности, целостности и доступности данных PLM-системы.

Как исправить

Для устранения уязвимости необходимо установить официальное исправление (Critical Patch Set — CPS) от компании PTC.

Выполните резервное копирование базы данных Windchill, директории установки и конфигурационных файлов.

Остановите службы Windchill:

windchill stop

Загрузите соответствующий пакет обновления (CPS) для вашей версии Windchill/FlexPLM с официального портала поддержки PTC.

Установите обновление с помощью утилиты PTC Product System Integrator (PSI) согласно руководству к патчу.

Запустите службы Windchill после успешной установки обновления:

windchill start

Проверьте версию установленного ПО и убедитесь в отсутствии ошибок в логах MethodServer.

Временные меры

Если немедленная установка патча невозможна, примените следующие компенсирующие меры:

Ограничьте доступ к портам Windchill (по умолчанию 80, 443) на сетевом уровне, разрешив подключения только из доверенных сегментов сети или через VPN.

Пример ограничения доступа для доверенной подсети с помощью iptables:

iptables -A INPUT -p tcp --dport 443 -s 10.0.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j DROP

Настройте правила Web Application Firewall (WAF) для фильтрации входящих HTTP/HTTPS-запросов к веб-серверу Windchill, блокируя запросы с признаками внедрения кода или сериализованных объектов Java.

Настройте мониторинг логов MethodServer на предмет подозрительных Java-исключений и нетипичных сетевых запросов от неавторизованных пользователей.