J4ck3LSyN-Gen2/CVE-2026-48558
GitHub: J4ck3LSyN-Gen2/CVE-2026-48558
针对 SimpleHelp OIDC 身份验证绕过漏洞(CVE-2026-48558)的 Python 概念验证脚本,通过伪造未签名 JWT 令牌实现特权用户冒充。
Stars: 6 | Forks: 1
# CVE-2026-48558:SimpleHelp OIDC 身份验证绕过
作者:_J4ck3LSyN_
## 描述
SimpleHelp **5.5.15 及更早版本**以及 **6.0 预发布版本**在 OpenID Connect (OIDC) 身份验证流程中包含一个严重的身份验证绕过漏洞 (CVE-2026-48558)。
当配置了 OIDC 身份验证时,服务器接受身份令牌 (ID Tokens / JWTs),**且不验证其加密签名**。未经身份验证的远程攻击者可以伪造包含任意声明(包括组成员身份)的令牌,从而创建并验证为特权 **Technician**(技术员)用户。在受影响的配置中,这也可以绕过 MFA。此攻击不需要任何用户交互。
- **CVSS**:~9.8-10.0(严重)
- **影响**:完全的技术员访问权限 → 远程控制受管 endpoint、执行脚本、访问凭证、建立持久性
- **CISA KEV**:添加于 2026 年 6 月 29 日
- **主动利用**:已观察到在野利用(例如,部署 TaskWeaver loader + Djinn Stealer)
## 技术细节
根本原因在于 SimpleHelp 的 OIDC 令牌验证逻辑:
- 未能强制执行 JWT 签名验证(`alg: none` 可用;无效签名未被拒绝)。
- 在某些流程中,对 `iss`、`aud`、`exp` 和其他声明的验证不足。
- 当 TechnicianGroup 配置为“允许组验证登录”时,授予该组成员身份的伪造令牌将生成一个完全通过身份验证的会话。
- 该攻击通过提交伪造的 `id_token`,将目标对准 OIDC callback endpoint(通常是 `POST /auth/oidc/callback` 或类似端点)。
这允许攻击者冒充任何用户并在无需凭证的情况下将其权限提升至技术员特权。
## 攻陷指标 (IoCs)
- **Administration → Technicians** 中出现带有可疑电子邮件/用户名的新 Technician 账户
- 服务器日志中出现来自未知来源的登录事件和配置更改
- 日志位于:`/opt/SimpleHelp/logs/server.log`(以及带有日期的子目录中)
- 受管 endpoint 上出现意外的 `jquery.js` / Node.js 执行(漏洞利用后)
## 缓解措施 / 修补
**立即修补**:
- **5.5 分支**:升级至 **5.5.16**
- **6.0 分支**:升级至 **6.0 RC2** 或更高版本
官方更新:[SimpleHelp 安全更新 2026-05](https://simple-help.com/security/simplehelp-security-update-2026-05)
**临时变通方法**(在修补之前):
- 完全禁用 OIDC 身份验证
- 通过防火墙 / VPN / IP 允许列表限制服务器访问
- 监控和审计 Technician 账户及日志
## 概念验证
请参阅此存储库中的 `poc.py`。
### 要求
- Python 3.6+
- `requests`, `PyJWT`
### 设置
```
python3 -m venv venv
source venv/bin/activate # (.fish) if your swimming
python3 -m pip install --upgrade pip
python3 -m pip install requests PyJWT
```
### 示例用法
```
python3 poc.py -u https://target.example.com \
-i https://accounts.google.com \
-a "your-configured-client-id" \
-s attacker-sub \
-e attacker@evil.com \
-n "Evil Technician" \
-g "Technicians,Admins"
```
完整的参数文档在脚本中。
**注意**:该脚本包含自动 callback endpoint 发现功能,并支持手动覆盖。
**存储库**:https://github.com/J4ck3LSyN-Gen2/CVE-2026-48558
标签:JWT安全, Modbus, PoC, 安全, 暴力破解, 超时处理, 身份认证绕过, 逆向工具