CVE-2026-48558 の詳細
CVEの情報
説明:
SimpleHelp versions 5.5.15 and prior and 6.0 pre-release versions contain an authentication bypass vulnerability in the OIDC authentication flow. When OIDC authentication is configured, identity tokens submitted during login are accepted without verifying their cryptographic signature. In a vulnerable configuration, a remote, unauthenticated attacker can submit a forged token containing arbitrary identity claims to obtain a fully authenticated technician session. In some configurations, this may also allow bypass of multi-factor authentication. No user interaction is required.
CVE更新日: 2026-06-12 18:16:35.317000
CVSSバージョン: 4.0
CVSSスコア: 9.5
KEVの情報
KEV更新日: 2026-06-29
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.011600000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: True
CVE-2026-48558について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2026-48558は、リモートサポートおよびRMM(リモート監視・管理)プラットフォームであるSimpleHelpのOpenID Connect(OIDC)認証フローに存在する認証バイパスの脆弱性です。この脆弱性は、IDトークンの暗号署名が適切に検証されないことに起因します。認証されていない攻撃者は、偽造されたIDトークンを送信することで、完全に認証された技術者セッションを取得することができます。
1.1 影響 攻撃者は、新しい「Technician」ユーザーを作成し、管理対象のエンドポイントへのリモート接続、スクリプトの実行などの特権的な管理活動を実行できます。これにより、Windows、macOS、Linuxシステムにインフォスティーラー(Djinn Stealer)やその他のマルウェア(TaskWeaver)が展開される可能性があります。特定の構成では、多要素認証(MFA)もバイパスされる可能性があります。単一の技術者セッションが侵害されると、複数の顧客環境への侵入経路となるリスクがあります。
1.2 深刻度 深刻度は「Critical(緊急)」と評価されており、CVSSスコアは10.0(最大値)です。この脆弱性は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用されている脆弱性(KEV)カタログに追加されており、現時点で活発な悪用が確認されています。
2. 対象となる環境
2.1 影響を受けるOSバージョン SimpleHelpのバージョン5.5.15以前、および6.0プレリリース版が影響を受けます。
2.2 影響を受ける設定 以下の条件がすべて満たされる場合に脆弱性の影響を受けます。 * SimpleHelpがOpenID Connect(OIDC)認証(汎用OIDCまたはAzure AD OIDCのいずれか)を使用するように構成されている。 * 少なくとも1つのテクニシャングループがOIDCプロバイダーに関連付けられている。 * そのテクニシャングループで「Allow group authenticated logins」が有効になっている。
Shodanの調査によると、公開されている約14,000台のSimpleHelpサーバーのうち、約7.2%がOIDC認証を使用するように設定されていることが示されています。
3. 影響を受けた時の兆候
/opt/SimpleHelp/logs/server.logおよび/opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.logのログに、不正なアカウントによる登録情報、メールアドレス、または設定変更が記録されている可能性がある。4. 推奨対策
4.1 本対策 * SimpleHelpをバージョン5.5.16以降にアップグレードしてください。 * 6.0系の場合は、6.0 RC2以降(理想的には公式の6.0リリース以降)にアップグレードしてください。 * CISAは、2026年7月2日を修正の期限として定めています。
4.2 暫定回避策(緩和策) * 即座にパッチを適用できない場合は、IPベースの許可リスト(アクセス制限)を使用して、技術者のログイン元を制限することを検討してください。 * OIDCを全く使用しないように設定する。 * OIDCを使用している場合、「Allow group authenticated logins」が有効になっているOIDC認証用に設定されたテクニシャングループがないことを確認する。 * パッチ適用が完了するまで、定期的にログを確認してください。
5. 他に解説すべき観点
参照したサイト