Uma vulnerabilidade no software de gerenciamento remoto SimpleHelp permite que atacantes sem autenticação criem contas de técnico com privilégios elevados em servidores que usam o protocolo de autenticação OpenID Connect (OIDC).
A falha está registrada como
CVE-2026-48558
e recebeu classificação de gravidade crítica.
Ela afeta as versões 5.5.15 e anteriores do SimpleHelp, além das versões pré-lançamento da linha 6.0.
Pesquisadores da empresa de segurança ofensiva Horizon3.ai explicam que o problema está na forma como as afirmações de identidade recebidas de um provedor de identidade OIDC são validadas.
Quando a autenticação OIDC está habilitada, um atacante sem autenticação pode criar e entrar como um novo usuário do tipo Técnico sem precisar passar pelo processo de autenticação multifator (MFA).
“Esse Técnico, por padrão, pode executar atividades de administração privilegiadas, como acessar remotamente endpoints gerenciados, executar scripts e muito mais”, explicou o pesquisador da Horizon3.ai Zach Hanley.
A SimpleHelp corrigiu a vulnerabilidade em 9 de junho, com o lançamento das versões 5.5.16 e 6.0RC2 do produto.
A
CVE-2026-48558
não afeta todos os servidores SimpleHelp que executam uma versão vulnerável.
O impacto se limita a parte deles, especificamente os que dependem do protocolo OIDC, seja a implementação genérica, seja o Azure AD OIDC, ambos comuns em grandes empresas.
Segundo os pesquisadores, há alguns pré-requisitos para que o exploit funcione:
- a autenticação OIDC precisa estar habilitada;
- pelo menos um grupo de técnicos deve estar associado ao provedor OIDC;
- o grupo precisa ter a opção “Allow group authenticated logins” ativada.
Resultados do Shodan mostram cerca de 14.000 servidores SimpleHelp expostos na internet pública.
A análise de uma amostra aleatória indica que aproximadamente 7,2% deles estão configurados para usar autenticação OIDC.
Além disso, a Horizon3.ai constatou que a opção “Allow group authenticated logins” está ativada em muitos casos.
As organizações podem se proteger contra ataques que explorem a vulnerabilidade
CVE-2026-48558
atualizando para as versões mais recentes do SimpleHelp que corrigem a falha.
Se a atualização não for possível, uma medida de mitigação é restringir as origens de login de técnicos por meio de listas de permissão baseadas em IP.
Os pesquisadores também compartilharam indicadores de comprometimento que podem ajudar a detectar exploração em andamento, como novos usuários autenticados do tipo Técnico com nomes e/ou endereços de e-mail desconhecidos ou suspeitos.
Além disso, os logs em “/opt/SimpleHelp/logs/server.log” e “/opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.log” podem conter registros de criação de técnicos, endereços de e-mail e alterações de configuração feitas por contas maliciosas.
Nem a SimpleHelp nem a Horizon3.ai relataram evidências de exploração ativa.
Ainda assim, diante do histórico do produto de atrair o interesse de threat actors relevantes, as organizações são aconselhadas a aplicar sem demora as correções ou medidas de mitigação disponíveis.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...