Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en SimpleHelp

Fecha de publicación 16/06/2026
Identificador
INCIBE-2026-426
Importancia
5 - Crítica
Recursos Afectados
  • versiones 5.5.15 y anteriores;
  • versión preliminar de la 6.0.
Descripción

Zach Hanley de Horizon3.ai ha publicado información sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante la omisión de la autenticación multifactor.

Solución

Actualizar:

  • SimpleHelp 5.5.16: para usuarios de la versión 5.5.x.
  • SimpleHelp 6.0 RC2: para usuarios de la versión 6.0.
Detalle

CVE-2026-48558: omisión de autenticación en el software de soporte remoto SimpleHelp. El fallo reside en el flujo de autenticación OIDC (OpenID Connect), donde la aplicación no verifica criptográficamente los tokens de identidad enviados durante el inicio de sesión. Esto permite que un atacante remoto no autenticado falsifique un token con declaraciones de identidad arbitrarias, obteniendo así una sesión de técnico completamente autenticada. En ciertas configuraciones, esta omisión también puede eludir la autenticación multifactor (MFA). 

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-48558 Crítica No SimpleHelp
Listado de referencias
SimpleHelp 5.5 and 6.0 Security Fix
CVE-2026-48558: SimpleHelp Authentication Bypass Indicators of Compromise
A detailed view into what has changed in each recent SimpleHelp release.
Etiquetas