文章总结： 文章详细分析了CVE-2026-48558SimpleHelp认证绕过漏洞，该漏洞影响配置OIDC认证的服务器，允许攻击者创建技术员账户并绕过MFA。关键发现包括漏洞触发条件、入侵检测方法及缓解措施，建议管理员及时打补丁或配置IP限制。公开资料显示近14000台服务器暴露，其中7.2%存在风险。 综合评分： 85 文章分类： 漏洞分析,WEB安全,渗透测试,应急响应,安全建设

【CVE-2026-48558】SimpleHelp认证绕过漏洞详解与入侵检测

原创

骨哥说事 骨哥说事

骨哥说事

2026年6月13日 09:57 上海

在小说阅读器读本章

去阅读

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

#

#

防走失：https://gugesay.com/

引言

在 Horizon3.ai，我们一直在各个工作领域大力进行生成式AI（Generative AI）的实验。我经常涉足的一个领域是漏洞研究。2026年初，受 DARPA 的 AIxCC 启发，我尝试创建一个自主的漏洞研究流水线，旨在复现我的研究方法论，并希望能发现真实、可利用的漏洞。这项内部计划代号为 “Sua Sponte”，意为”出于其自身意愿”。

迄今为止，该计划已在商业相关的应用程序中发现了多种漏洞：认证绕过（Authentication Bypass）、未授权远程代码执行（Un-authenticated Remote Code Execution）、未授权文件读写、SQL注入、服务端请求伪造（Server-Side Request Forgery）以及许多其他类型的漏洞。

SimpleHelp 的出现

漏洞研究流水线的一个核心要素是需要分析的软件。通常，我每周会开始搜寻感兴趣的软件，重点是企业软件、客户群中普遍部署的软件，以及历史上已被实际利用并登上 CISA 已知可利用漏洞（KEV）目录的软件。

我们对 SimpleHelp 这款远程监控和管理应用程序并不陌生。2025年1月，我们披露了数个导致 SimpleHelp 服务器被攻陷的严重漏洞。其中一个在2025年5月被列入CISA的KEV目录，另外两个最近在2026年4月也被列入。最近的这些新增漏洞促使 SimpleHelp 重新回到我们的待分析队列中——这次由 Sua Sponte 来处理。

令我们惊讶的是，将代码输入我们的流水线后仅仅几个小时，就发现了一个结果！当系统报告发现时，总是有点难以置信。尤其是在我确信我们已经审计过的代码中。但”多眼探员”事半功倍，手动审计时我们并不总能仔细检查每一行代码。

发现 – CVE-2026-48558

SimpleHelp 允许组织选择使用多种认证方法——其中之一是 OpenID Connect (OIDC)。OIDC 在大型企业中非常普遍，用于将应用程序的用户管理卸载给身份提供商（IdP， Identity Provider）。它支持的最常见的 OIDC 集成之一是 Azure Active Directory (AD)。SimpleHelp 支持两种 OIDC 类型：通用 OIDC 或专门的 Azure AD OIDC。

该漏洞影响配置使用任一 OIDC 版本的服务器，其根源在于 SimpleHelp 验证 IdP 断言的方式。在许多启用了 OIDC 类型认证的 SimpleHelp 部署中，未经验证的攻击者可以创建新”Technician”（技术员）用户并以该身份进行认证。默认情况下，此技术员可以执行特权管理活动，例如远程连接到受管端点、执行脚本等。

即使 SimpleHelp 服务器配置为对技术员强制执行 MFA，此问题仍允许攻击者绕过此机制，因为在首次登录时，技术员可以自行注册自己的 MFA 方法。

导致 SimpleHelp 易受此技术员创建攻击的确切条件如下：

1. OIDC 已启用 – SimpleHelp 服务器上至少配置了一个 OIDC 认证提供商。
2. 一个技术员组（TechnicianGroup）与 OIDC 提供商相关联 – 至少有一个技术员组为其启用了 OIDC 提供商。这是任何 OIDC 登录功能正常工作的先决条件，在任何使用 OIDC 认证的部署中预期都会存在。
3. 技术员组（TechnicianGroup）上启用了”允许组认证登录”（Allow group authenticated logins）– 在我们评估的客户环境中，发现此设置普遍处于启用状态。

目前，我们不再发布有关此漏洞的更多技术细节，但将详述如果服务器通过此漏洞被利用，可能发现的入侵指标。

入侵指标

SimpleHelp 应用管理员可以通过以下路径查看所有技术员：管理（Administration） -> 技术员（Technicians） -> 齿轮图标（Gear Icon） -> 勾选"显示组认证用户"（Show Group Authenticated Users）

检查列出的技术员中是否存在任何不熟悉的技术员姓名或电子邮件地址。

SimpleHelp 应用管理员也可以通过以下路径查看服务器日志：管理（Administration） -> 服务器日志（Server Logs）

分析日志中是否存在不熟悉的技术员姓名和电子邮件地址

为 r[email protected]``/ (Technicians) 注册技术员登录 请求的配置保存 (伪造的攻击者 - [email protected] [(Technicians)] [New Anon])

系统日志也可以在主机上的以下位置找到：/opt/SimpleHelp/logs/server.log``/opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.log

互联网暴露情况

自我们2025年1月的研究显示大约有 3,400 台 SimpleHelp 服务器暴露以来，这一数字已增至近 14,000。

对这些服务器的随机抽样表明，大约 7.2% 的服务器配置使用了易受攻击的 OIDC 认证方法。

缓解措施

请打补丁至最新版本，可从此处获取。

尽管 SimpleHelp 确实具有支持更好地锁定技术员登录和认证过滤器的可选配置，但我们尚未在客户群中发现普遍启用了这些配置。

如果无法及时打补丁，请考虑应用 IP 限制，以规定技术员可以从何处进行认证，路径为：管理（Administration） -> 登录安全（Login Security）

披露时间线

• 2026年5月21日 – 发现认证绕过（Authentication Bypass）漏洞，现分配编号为 CVE-2026-48558
• 2026年5月21日 – 验证该漏洞在我们的客户群中的真实条件下是可利用的，并提供了缓解控制措施
• 2026年5月22日 – 向 SimpleHelp 报告该问题
• 2026年5月22日至6月1日 – 我们与 SimpleHelp 进一步沟通漏洞细节并确定可利用的配置
• 2026年6月9日 – 我们注意到 SimpleHelp 已在未通知我们的情况下发布了补丁
• 2026年6月12日 – 本文发布

参考链接

• https://simple-help.com/security/simplehelp-security-update-2026-05

• CVE-2026-48558: SimpleHelp Authentication Bypass Indicators of Compromise

• END –

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《【CVE-2026-48558】SimpleHelp认证绕过漏洞详解与入侵检测》