Luka w uwierzytelnianiu SimpleHelp umożliwiająca obejście zabezpieczeń

Krytyczna luka w SimpleHelp pozwala na obejście uwierzytelniania OIDC i uzyskanie dostępu technika bez autoryzacji. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-48558CVSS 9.5CISA KEVKnown Exploited

Luka w uwierzytelnianiu SimpleHelp umożliwiająca obejście zabezpieczeń

Krytyczna luka w SimpleHelp pozwala na obejście uwierzytelniania OIDC i uzyskanie dostępu technika bez autoryzacji. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.5 CRITICAL
EPSS
63.26%
Aktywnie wykorzystywana
tak
Produkt
SimpleHelp

Co wiadomo

W wersjach SimpleHelp 5.5.15 i wcześniejszych oraz w wersjach przedpremierowych 6.0 występuje luka pozwalająca na obejście uwierzytelniania w procesie OIDC. Atakujący może przesłać sfałszowany token tożsamości bez weryfikacji podpisu kryptograficznego, uzyskując pełny dostęp technika bez uwierzytelnienia.

Wpływ biznesowy

Ta krytyczna luka o wysokim poziomie ryzyka (CVSS 9.5) umożliwia zdalnemu, nieautoryzowanemu atakującemu uzyskanie pełnych uprawnień technika, co może prowadzić do przejęcia kontroli nad systemem. W niektórych konfiguracjach możliwe jest również obejście uwierzytelniania wieloskładnikowego, zwiększając ryzyko naruszenia bezpieczeństwa infrastruktury IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od producenta SimpleHelp oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję usługi na zewnątrz, monitorować logi pod kątem podejrzanych prób logowania i priorytetyzować działania naprawcze. Weryfikacja konfiguracji OIDC oraz wdrożenie dodatkowych mechanizmów zabezpieczeń może pomóc zminimalizować ryzyko.

Źródła