つみかさね

CVE-2026-48558

Critical(10)

CVE-2026-48558 — SimpleHelp OIDC認証バイパスによる未認証セッション取得

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
SimpleHelpSimple-Help Ltd<= 5.5.15
SimpleHelpSimple-Help Ltd6.0 pre-release

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1SimpleHelpのバージョンとOIDC認証の使用有無を確認する
  2. 2SimpleHelp 5.5.16以降または6.0 GA版へアップデートする
  3. 3即時アップデートが困難な場合、OIDC認証を一時的に無効化する
  4. 4アップデート後、セッションログを確認して不審なアクセスがないか検証する

影響対象

SimpleHelp利用者(OIDC認証設定済み)

補足

  • -OIDCを使用していない構成は本脆弱性の影響を受けません
CVESimpleHelp認証バイパスOIDCリモートアクセス

概要

リモートサポートツール SimpleHelp のOIDC認証フローに、IDトークンの暗号署名を検証しない脆弱性が確認されました。CVSSスコアは10.0(最高値)です。

OIDC認証が有効な構成において、ログイン時に送信されるIDトークンの署名が検証されません。このため、リモートの未認証攻撃者が任意のIDクレーム(ユーザー名・ロール等)を含む偽造トークンを送信することで、完全に認証済みのテクニシャンセッションを取得できます。一部の構成ではMFA(多要素認証)のバイパスも可能です。攻撃にユーザー操作は不要です。

CVSSベクトル

項目
スコア10.0 (CRITICAL)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)不要 (N)
スコープ (S)変更あり (C)
機密性への影響 (C)高 (H)
完全性への影響 (I)高 (H)
可用性への影響 (A)高 (H)
CWECWE-347(暗号署名の不適切な検証)

影響を受けるソフトウェア

製品ベンダー影響バージョン
SimpleHelpSimple-Help Ltd5.5.15 以前
SimpleHelpSimple-Help Ltd6.0 プレリリース版(全バージョン)

OIDCを使用していない構成は本脆弱性の影響を受けません。

修正バージョンと回避策

修正バージョン: SimpleHelp 5.5.16 以降、または6.0 GA版

SimpleHelpの管理パネルから最新版へのアップデートを実施してください。

緊急の回避策: アップデートが即時に実施できない場合は、OIDC認証を一時的に無効化し、他の認証方式(ローカル認証等)へ切り替えることを検討してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-48558
SimpleHelp Security Update:https://simple-help.com/security/simplehelp-security-update-2026-05
Horizon3.ai:https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。