🚨 GÜVENLİK BÜLTENİ: SimpleHelp'te Kritik Kimlik Doğrulama Atlatma Zafiyeti (CVE-2026-48558) Merhaba #Brolyz Uzaktan destek ve yönetim araçlarını yakından ilgilendiren oldukça kritik bir gelişme yaşandı.SimpleHelp yazılımında tespit edilen ve CVSS puanı 10.0 (Kritik) olan yeni bir kimlik doğrulama atlatma zafiyeti (CVE-2026-48558) raporlandı.Bu durum,özellikle dışarıdan hizmet sağlayan veya kurum içi BT desteği sunan #Orta ve büyük ölçekli işletmelerin yönetici panelleri #Gibi kritik sistemlerini doğrudan ve ciddi bir şekilde tehdit ediyor 📌 Zafiyetin Özeti CVE-2026-48558, SimpleHelp'in OIDC kimlik doğrulama akışında yer alan bir şifreleme imza doğrulama eksikliğidir (CWE-347). Sisteme giriş sırasında sunulan kimlik token'ları (JWT) herhangi bir kriptografik imza doğrulamasına tabi tutulmadan kabul edilmektedir. Bu sayede, hiçbir geçerli kimlik bilgisi olmayan uzaktaki bir saldırgan, kendi oluşturduğu sahte bir token ile sisteme tam yetkili bir "Teknisyen" olarak giriş yapabilmektedir. ⚠️ Etki ve Risk (Kritik - CVSS 3.1: 10.0) Bu zafiyetin sömürülmesi son derece kolaydır ve kullanıcı etkileşimi gerektirmez: • Saldırganlar MFA korumasını tamamen atlatabilir • Hedef sistemdeki tüm cihazlara uzaktan bağlantı kurabilir, komut dosyaları (script) çalıştırabilir ve uç noktaları ele geçirebilir • OIDC doğrulamasının aktif olduğu binlerce dışa açık sunucunun doğrudan risk altında olduğu araştırmacılar (Horizon3.ai) tarafından belirtilmiştir 🛠️ Çözüm ve Öneriler SimpleHelp kullanan kurumların acilen şu önlemleri alması hayati önem taşır: 1️⃣ Acil Yama:SimpleHelp altyapınızı vakit kaybetmeden yamalanmış olan 5.5.16 sürümüne veya güncel 6.0 sürümüne yükseltin 2️⃣ Erişim Kısıtlaması:Eğer hemen yama geçemiyorsanız,OIDC entegrasyonunu devre dışı bırakın veya teknisyen girişlerini yalnızca güvenilir IP adresleriyle sınırlandırın 3️⃣ Denetim:Yönetim panelindeki teknisyen listelerini kontrol ederek sistemde izinsiz oluşturulmuş şüpheli kullanıcıların olup olmadığını denetleyin

Today we are disclosing CVE-2026-48558, an auth bypass in #SimpleHelp RMM when OIDC is configured. Affected servers let unauth attackers create a Technician session - allowing remote control, script exec, monitoring. High-level details and IOCs: horizon3.ai/attack-research/…

🚨 Le CRL a identifié 113 vulnérabilités critiques et hautes aujourd'hui. Les plus sévères touchent VM2, SimpleHelp, Aqara et Google Chrome. RCE, sandbox escape et élévation de privilèges dominant les alertes. #CyberSécurité #CVE #CRL

#CVE-2026-48558 - Critical authentication bypass in Simplehelp (CVSS 10). #OIDC #tokens accepted without signature verification. Unauthenticated remote attackers can forge tokens for full technician access. No patch available. Disable OIDC if ... valtersit.com/cve/CVE-2026-4…

SimpleHelpのauth bypassニュースが綺麗に流れてるの見ると、結局システムも人間と同じで『完璧に見せてる表側』と『簡単にすり抜ける裏側』があるんやろなって。 部屋の隅の湿った斑点拭きながらそんなこと考えて、ふっと笑えてきたわ。

遠隔管理ソフトSimpleHelpで、認証なしの攻撃者が管理者権限を奪える認証回避脆弱性が見つかった。OIDC設定時にトークン署名を検証しない問題で、MFAを設定していても技術者セッションを取得され、社内端末の遠隔操作やスクリプト実行に進まれる重大な恐れがある。 遠隔管理ソフトSimpleHelpで、CVE-2026-48558として追跡される認証回避脆弱性が報告された。CVSSスコアは10で、認証されていない攻撃者が認証情報を偽造し、管理権限を取得できる可能性がある。 脆弱性はシングルサインオン機構に存在する。OIDC認証が設定されている場合、ログイン時に送信されるIDトークンについて暗号署名の検証が行われず、攻撃者が改ざんしたトークンで任意の身元を装えるという。 影響を受ける構成では、攻撃者が認証済みの技術者セッションを取得できる。新規作成された技術者アカウントは初期状態で、管理対象端末へのリモート接続やスクリプト実行などの操作を行える。管理者がMFAを必須にしていても、技術者が初回ログイン時に自分のMFA方式を登録できるため、既存の保護を回避できるとされる。 Shodanのデータでは、インターネット上に露出したSimpleHelpサーバーが前年の約3400台から約1万4000台へ増加しており、その約7.2％が脆弱な構成で動作していたという。対策として、ソフトウェア更新の適用や、技術者ログイン元を制限するIP制御が案内されている。 securityonline.info/simplehe…

⚠️Observed phishing URLs delivering RMM payload: RMM: SimpleHelp Theme: DocuSign URL: hxxps://absolutecaninepa[.]com/DocuSign/Windows/* File Download URL: hxxps://absolutecaninepa[.]com/DocuSign/Windows/download/index.php SHA256: 53fb76a04bf57ec5ab4b160cb9f314825ff42fb3a7209435a74cfcaf47d6114e #ThreatIntel #Phishing #RMM

A critical SimpleHelp authentication bypass flaw leaves servers open. Attackers exploit the OIDC authentication flow to gain technician control. #SimpleHelp #AuthenticationBypass #CVE202648558 #OIDC #Infosec securityonline.info/simplehe…

🔓 SimpleHelp auth bypass — CVE-2026-48558 is critical (9.5). OIDC JWT signatures aren't verified, letting unauthenticated attackers bypass login entirely. Affects v5.5.15 and prior 6.0 pre-release. Patch now. secalerts.co/vulnerability/C…

🚨Critical - SimpleHelp OIDC Authentication Bypass (CVE-2026-48558) When SimpleHelp is configured to use OIDC authentication, identity tokens submitted at login are accepted without verifying their cryptographic signature. That means a remote, unauthenticated attacker can forge a token with arbitrary identity claims and land a fully authenticated technician session - and in some configurations even bypass MFA. No user interaction needed. SimpleHelp is privileged remote-support/RMM software widely used by MSPs, and its earlier CVEs have already been abused by ransomware actors for initial access, so this is a high-value target. Horizon3 has published IOCs for detection. 👉Upgrade to the patched SimpleHelp release per the vendor's May 2026 security update (affects 5.5.15 and earlier, and 6.0 pre-release builds).

SimpleHelp = remote desktop/support software used by thousands of MSPs and IT teams. This bypass lets attackers take FULL CONTROL of managed endpoints. If you're running it, assume compromise until patched. How many orgs even know they have this installed?