脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
Critical CVSS 10.0 KEV 悪用確認
CVE-2026-48558

SimpleHelp 認証バイパス(OIDC 署名未検証)

CVE IDCVE-2026-48558
製品SimpleHelp / SimpleHelp
CVSS10.0(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
種別 (CWE)CWE-287 不適切な認証
登録/公開日2026/06/29
KEV 期限2026/07/02 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-48558

概要

SimpleHelp(5.5.15 以前、および 6.0 プレリリース)の OIDC 認証フローで、IDトークンの暗号署名を検証せずに受理する認証バイパスの脆弱性。リモートの未認証攻撃者が認証済みセッションを取得できる。修正版は 5.5.16 以降 / 6.0 RC2 以降。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。AWS 固有の修正提供はなく、利用者側でのアップグレードが必要。
参照リンク
GCP パッチあり(アプリ更新)
GCE 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。GCP 固有の修正提供は確認できず。
参照リンク
Azure パッチあり(アプリ更新)
Azure VM 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。Azure 固有の修正提供は確認できず。
参照リンク
Linux パッチあり(アプリ更新)
Linux サーバ上の SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
ベンダー配布のアプリのため、SimpleHelp 公式の更新を適用。ディストリのパッケージ対象外。
参照リンク

解決の方向性(パッチ/回避策/代替)

SimpleHelp を 5.5.16 以降または 6.0 RC2 以降へアップデートするのが確実な方針。リモート管理製品の性質上、管理ポートをインターネットに直接公開せず VPN 内に隔離する回避策も有効。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る