| CVE ID | CVE-2026-48558 |
|---|---|
| 製品 | SimpleHelp / SimpleHelp |
| CVSS | 10.0(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 種別 (CWE) | CWE-287 不適切な認証 |
| 登録/公開日 | 2026/06/29 |
| KEV 期限 | 2026/07/02 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従って緩和策を適用(BOD 26-04 準拠) |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-48558 |
SimpleHelp(5.5.15 以前、および 6.0 プレリリース)の OIDC 認証フローで、IDトークンの暗号署名を検証せずに受理する認証バイパスの脆弱性。リモートの未認証攻撃者が認証済みセッションを取得できる。修正版は 5.5.16 以降 / 6.0 RC2 以降。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
EC2 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。AWS 固有の修正提供はなく、利用者側でのアップグレードが必要。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
GCE 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。GCP 固有の修正提供は確認できず。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Azure VM 上の自己ホスト SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
自己管理アプリ。Azure 固有の修正提供は確認できず。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Linux サーバ上の SimpleHelp を 5.5.16+/6.0 RC2+ へ更新
ベンダー配布のアプリのため、SimpleHelp 公式の更新を適用。ディストリのパッケージ対象外。
参照リンク
|
SimpleHelp を 5.5.16 以降または 6.0 RC2 以降へアップデートするのが確実な方針。リモート管理製品の性質上、管理ポートをインターネットに直接公開せず VPN 内に隔離する回避策も有効。