Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 14.06.2026 · 6 min Lesezeit

SimpleHelp CVE-2026-48558: Kritischer OIDC-Authentifizierungs-Bypass mit CVSS 10.0

Eine kritische Lücke in SimpleHelp erlaubt es Angreifern, sich ohne Passwort als Techniker anzumelden. CVSS 10.0, kein CISA-KEV-Eintrag, Patches existieren. Was Admins jetzt prüfen müssen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Techniker arbeitet an Bildschirmen in einem Rechenzentrum, Symbolbild für einen kritischen Authentifizierungs-Bypass in einer Fernwartungssoftware.

Am 12. Juni 2026 hat das Sicherheitsforschungsteam Horizon3.ai eine kritische Schwachstelle in der Fernwartungssoftware SimpleHelp öffentlich gemacht. Die Lücke mit der Kennung CVE-2026-48558 erlaubt es einem nicht authentifizierten Angreifer, sich über die OpenID-Connect-Anmeldung als neuer Technician-Account einzuloggen und im Anschluss privilegierte Verwaltungsaufgaben auszuführen. Der CVSS-Basiswert liegt nach derzeit vorliegenden Bewertungen bei 10.0 (Critical). SimpleHelp hat nach Angaben von Horizon3.ai bereits am 9. Juni 2026 Patches veröffentlicht, ohne diese öffentlich anzukündigen.

Quelle und Veröffentlichungsstand

Die Lücke wurde vom Forschungsteam Horizon3.ai mit Hilfe der internen KI-gestützten Vulnerability-Pipeline „Sua Sponte" identifiziert. Der Hersteller wurde am 22. Mai 2026 informiert, am 9. Juni 2026 wurden Patches veröffentlicht, und am 12. Juni 2026 erfolgte die öffentliche Disclosure zusammen mit ersten Indicators of Compromise. Die CWE-Klassifikation lautet CWE-347 (Improper Verification of Cryptographic Signature). CISA hat die Lücke nach derzeit vorliegenden Informationen noch nicht in den KEV-Katalog aufgenommen.

Was ist die Schwachstelle?

SimpleHelp-Server, die OpenID Connect (OIDC) für die Anmeldung von Technikern nutzen, prüfen die Signatur der eingereichten ID-Tokens nicht zuverlässig. Ein Angreifer kann ein selbst gebautes Token mit frei wählbaren Identitätsansprüchen an die Login-Schnittstelle senden. Der Server akzeptiert dieses Token, legt einen neuen Technician-Account an und meldet die Sitzung als erfolgreich authentifiziert an. Im Anschluss stehen dem Angreifer je nach Konfiguration Remote-Sitzungen auf verwalteten Endpunkten, Skriptausführung und Konfigurationsänderungen zur Verfügung. In Szenarien mit aktivierter MFA kann der Angreifer beim ersten Login zudem seine eigene Mehr-Faktor-Methode registrieren und so die Zwei-Faktor-Pflicht umgehen.

Welche Systeme sind betroffen?

Nach Angaben von Horizon3.ai müssen drei Bedingungen gleichzeitig zutreffen, damit ein Server ausnutzbar ist:

  1. OIDC ist als Authentifizierungsmethode konfiguriert (generisches OIDC oder Azure-AD-OIDC).
  2. Eine TechnicianGroup ist mit dem OIDC-Provider verknüpft.
  3. In dieser Gruppe ist die Option „Allow group authenticated logins" aktiviert, was laut Horizon3.ai in der Praxis häufig vorkommt.

Ist eine dieser Bedingungen nicht erfüllt, ist der konkrete Server nach derzeitiger Kenntnis nicht direkt betroffen. Eine Übersicht über die im Internet erreichbaren SimpleHelp-Server gibt Horizon3.ai mit rund 14.000 an, von denen etwa 7,2 Prozent eine verwundbare OIDC-Konfiguration nutzen. Censys- und Shodan-Zählungen enthalten erfahrungsgemäß historische oder verrauschte Daten und sollten nicht als exakter Bestand gewertet werden.

Wie kritisch ist die Schwachstelle?

Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H bildet die folgenden Eigenschaften ab: Angriff aus dem Netz, niedrige Komplexität, keine erforderlichen Rechte, keine Benutzerinteraktion. Mit dem Scope-Wechsel (S:C) sind zudem Auswirkungen über die SimpleHelp-Komponente hinaus möglich. In der praktischen Folge bedeutet das: Wer die drei oben genannten Konfigurationsbedingungen erfüllt, hat im aktuellen Zustand eine offene Tür für beliebige Angreifer aus dem Internet.

Gibt es bereits aktive Angriffe?

Zum Zeitpunkt der Veröffentlichung liegt keine bestätigte Ausnutzung in der freien Wildbahn vor. CVE-2026-48558 ist nicht im CISA-KEV-Katalog gelistet, und der EPSS-Score wird derzeit mit 0,00000 angegeben. Da die Schwachstelle jedoch trivial aus der Ferne ausnutzbar ist und der SimpleHelp-Code öffentlich analysiert werden kann, ist mit ersten Versuchen kurzfristig zu rechnen.

Welche Auswirkungen sind möglich?

Nach erfolgreicher Anmeldung kann ein Angreifer unter anderem:

  1. auf verwaltete Endpunkte remote zugreifen,
  2. Skripte und Befehle im Kontext der Technician-Sitzung ausführen,
  3. Konfigurationen und Berechtigungen im SimpleHelp-Server ändern,
  4. in vielen Setups eine eigene MFA-Methode registrieren und so eine eventuell vorhandene Zwei-Faktor-Pflicht aushebeln.

Damit eignet sich die Lücke besonders als Einstiegspunkt für laterale Bewegung in verwalteten Kundennetzwerken, etwa in MSP- und Help-Desk-Umgebungen.

Gibt es ein Update?

Ja. SimpleHelp hat Patches veröffentlicht. Betreiber sollten auf den aktuellen SimpleHelp-Build aktualisieren, der die fehlende Signaturprüfung im OIDC-Login ergänzt. Den Link zur offiziellen Sicherheitsmeldung und zur aktuellen Version stellt SimpleHelp unter simple-help.com/security/simplehelp-security-update-2026-05 bereit.

Gibt es einen Workaround?

Wer nicht sofort patchen kann, sollte nach Horizon3-Empfehlung den Zugriff auf die Technician-Anmeldung per IP-Beschränkung einschränken. Der Pfad in der Admin-Oberfläche lautet Administration → Login Security. Das reduziert die Angriffsfläche, ersetzt aber keinen Patch.

Was sollten Administratoren jetzt tun?

  1. Die installierte SimpleHelp-Version auf allen Servern (auch bei Kunden) prüfen.
  2. Auf den aktuellen Build aktualisieren, der CVE-2026-48558 schließt.
  3. Im Admin prüfen, ob die TechnicianGroup tatsächlich OIDC nutzt und „Allow group authenticated logins" aktiv ist.
  4. Die Technician-Liste auf unbekannte Konten prüfen, dazu in der Admin-Oberfläche Administration → Technicians → Gear Icon → Show Group Authenticated Users aktivieren.
  5. Die SimpleHelp-Server-Logs auf die folgenden Muster prüfen: Registering technician login for r <E-Mail> und Configuration save requested (Forged Attacker - <E-Mail> [(Technicians)] [New Anon]).
  6. Übergangsweise IP-Beschränkungen für die Technician-Anmeldung setzen.

Woran erkenne ich mögliche Angriffe?

Die genannten Logmuster liefern den direkten Nachweis einer stattgefundenen Ausnutzung. Zusätzlich lohnt sich der Blick auf unbekannte Technician-Accounts, plötzlich registrierte MFA-Methoden und Remote-Sitzungen, die nicht in den Help-Desk-Prozess passen.

Priorität nach Umgebung

Extern erreichbare SimpleHelp-Server, insbesondere in MSP- und Help-Desk-Setups, sollten sofort gepatcht werden. Setups ohne OIDC-Anmeldung oder mit deaktiviertem „Allow group authenticated logins" können die Aktualisierung im Rahmen der regulären Wartung nachziehen.

Empfehlung für Unternehmen und Administratoren

Aufgrund der Kombination aus CVSS 10.0, trivialer Ausnutzbarkeit aus der Ferne und der Rolle von SimpleHelp in MSP- und Help-Desk-Prozessen empfiehlt sich eine zeitnahe Aktualisierung. Vor dem Einspielen sollte ein vollständiges Backup der SimpleHelp-Installation inklusive Konfigurationsdateien und Zertifikaten erstellt werden, damit ein Rollback möglich ist, falls ein Plugin oder Skript nach dem Update Anpassungen benötigt. Wer SimpleHelp über mehrere Standorte verteilt betreibt, sollte die Verteilung über die zentrale Update- oder Skript-Infrastruktur automatisieren, damit der Rollout nicht manuell aus dem Ruder läuft.

FAQ

Ist CVE-2026-48558 bereits in CISA-KEV gelistet? Nein, zum Veröffentlichungszeitpunkt nicht. Sollte CISA die Lücke hinzufügen, gilt für FCEB-Agenturen eine kurzfristige Patchfrist.

Reicht das Abschalten von OIDC als Schutz? Wenn OIDC deaktiviert und keine andere externe Anmeldung aktiviert wird, die dieselbe fehlende Signaturprüfung nutzt, entfällt die Voraussetzung für die Ausnutzung.

Sind nur Cloud-Setups betroffen? Nein, die Lücke liegt im SimpleHelp-Server selbst, unabhängig davon, ob er intern, hybrid oder als gehosteter Dienst betrieben wird.

Fazit

CVE-2026-48558 ist eine kompromisslose Authentifizierungsumgehung in einer Software, die in MSP- und Help-Desk-Umgebungen direkt auf verwaltete Endpunkte zugreift. Wer die drei genannten Konfigurationsbedingungen erfüllt, sollte den Rollout der SimpleHelp-Patches priorisieren, parallel die Logs auf verdächtige Technician-Logins prüfen und die Anmeldung übergangsweise per IP-Beschränkung absichern.

Quellen

  1. https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/
  2. https://www.cve.org/CVERecord?id=CVE-2026-48558
  3. https://nvd.nist.gov/vuln/detail/CVE-2026-48558
  4. https://simple-help.com/security/simplehelp-security-update-2026-05
  5. https://vuldb.com/cve/CVE-2026-48558
Verwandt

Weiter lesen

Alle Artikel →
GitHub npm v12 blockiert ab Juli 2026 standardmäßig Install Skripte und Git Abhängigkeiten zum Schutz vor Supply Chain Angriffen in JavaScript Projekten
14.06.2026 ·3 min

GitHub npm v12: Install-Skripte und Git-Abhaengigkeiten werden im Juli 2026 standardmaessig blockiert

Im GitHub Changelog vom 9. Juni 2026 kuendigt GitHub fuer npm v12 drei neue Sicherheits-Defaults an: Install-Skripte, Git-Abhaengigkeiten und Remote-URL-Pakete werden per Default blockiert. Admins sollten ihre CI-Pipelines jetzt vorbereiten.
Cybersecurity Warnbild zu CVE 2026 35273 mit kritischer Remote Code Execution Lücke in Oracle PeopleSoft PeopleTools und Aufnahme in den CISA KEV Katalog
14.06.2026 ·5 min

CVE-2026-35273: Kritische RCE-Luecke in Oracle PeopleSoft PeopleTools im CISA-KEV-Katalog

CISA hat die fehlende Authentifizierung in Oracle PeopleSoft Enterprise PeopleTools 8.61 und 8.62 am 12. Juni 2026 in den KEV-Katalog aufgenommen. CVSS 3.1 liegt bei 9.8, ausgenutzt wird sie bereits in der Praxis.
Symbolbild zu einer Linux-Supply-Chain-Attacke auf AUR-Pakete
14.06.2026 ·3 min

Arch AUR: Infostealer in Hunderten Community-Paketen entdeckt

Eine Supply-Chain-Kampagne namens Atomic Arch traf verwaiste Pakete im Arch User Repository. Betroffene Systeme sollten als kompromittiert geprüft werden.