CISA KEV 警告 26/06/25:Cisco UCM と PTC の脆弱性を KEV に登録

CISA sets urgent deadline to fix Cisco flaw exploited in attacks

2026/06/26 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている Cisco Unified Communications Manager Server の脆弱性に対して、6月28日までの 3日間でパッチを適用するよう、連邦政府機関に求めている。この Server-Side Request Forgery (SSRF) の脆弱性 CVE-2026-20230 は、同機関の Known Exploited Vulnerabilities (KEV) カタログに追加された。

Binding Operational Directive (BOD) 26-04 に従い、この修正対応は緊急と見なされており、6月28日の日曜日までに完了する必要がある。

Cisco は CVE-2026-20230 を Critical 深刻度と評価し、6月3日にパッチをリリースしている。未認証のリモート攻撃者により、特別に細工された HTTP リクエストを介して、この脆弱性が悪用される可能性があると、同社は警告していた。

当初 Cisco は、概念実証 (PoC) エクスプロイトが存在することを指摘していたが、積極的な悪用の証拠は見つかっていないとしていた。

しかし、その後に脅威検知スタートアップの Defused は、影響を受けるエンドポイント上に任意のテキスト・ファイルを書き込む攻撃で、この脆弱性が悪用されていることを観測した。

現時点では、脆弱性 CVE-2026-20230 を攻撃で利用している、脅威アクターについては不明である。


さらに CISA は、PTC Windchill および FlexPLM ソフトウェア製品に影響を及ぼす不適切な入力検証の欠陥 CVE-2026-12569 も、KEV カタログへ追加した。

いずれのソフトウェアも、製造/エンジニアリング/小売などの業界向けに PTC が開発した、製品ライフサイクル管理 (PLM) システムである。

脆弱性 CVE-2026-12569 は、信頼できないデータのデシリアライゼーションを介して悪用が可能な、深刻度 Critical リモート・コード実行 (RCE) の脆弱性である。

6月1日の時点で、この問題を開示した PTC は、セキュリティ・アドバイザリを公開している。顧客に対して求められるのは、脆弱な Windchill および FlexPLM のバージョンを確認し、直ちに修正措置を講じることである。

ベンダーによると、この欠陥が影響を及ぼす範囲は、バージョン 11.0 の全てであるが、バージョン 11.1/11.2/12.0/12.1/13.0/13.1 の各リリース系列にも影響する。

連邦政府機関が CVE-2026-12569 にパッチを適用する期限についても、CISA は 6月28日を設定している。


BOD 26-04 の対象となる政府機関および組織は、利用可能なセキュリティ更新プログラムとベンダー推奨の緩和策を適用するか、指定された期限までに対象製品の使用を停止することで、直ちにシステムを保護する必要がある。