SimpleHelp 버전 5.5.15 이하 및 6.0 시험판 버전에는 OIDC 인증 흐름에 인증 우회 취약점이 포함되어 있습니다. OIDC 인증이 구성되면 로그인 중에 제출된 ID 토큰은 암호화 서명을 확인하지 않고 허용됩니다. 취약한 구성에서 인증되지 않은 원격 공격자는 완전히 인증된 기술자 세션을 얻기 위해 임의의 ID 클레임을 포함하는 위조된 토큰을 제출할 수 있습니다. 일부 구성에서는 이 문제가 발생할 수 있습니다.
SimpleHelp 버전 5.5.15 이하 및 6.0 시험판 버전에는 OIDC 인증 흐름에 인증 우회 취약점이 포함되어 있습니다. OIDC 인증이 구성되면 로그인 중에 제출된 ID 토큰은 암호화 서명을 확인하지 않고 허용됩니다. 취약한 구성에서 인증되지 않은 원격 공격자는 완전히 인증된 기술자 세션을 얻기 위해 임의의 ID 클레임을 포함하는 위조된 토큰을 제출할 수 있습니다. 일부 구성에서는 다단계 인증을 우회할 수도 있습니다. 사용자 상호 작용이 필요하지 않습니다.
필수 조치
Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| NVDNIST | 4.0 | 9.5 | CRITICAL | CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | 2026. 06. 13. |
| NVDNIST | 3.1 |
| 10.0 |
CRITICAL |
| CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 2026. 06. 13. |