CVE-2026-48558 SimpleHelp认证绕过漏洞被利用投递TaskWeaver与Djinn Stealer

资讯专家

SimpleHelp远程监控管理（RMM）软件近日曝出严重认证绕过漏洞（CVE-2026-48558，CVSS 10）。攻击者可利用该漏洞获取完全认证的技术员会话，进而控制所有通过受感染服务器管理的终端系统。

漏洞存在于SimpleHelp的OpenID Connect（OIDC）认证流程中。当启用OIDC时，应用程序未验证身份令牌的加密签名，导致未认证攻击者可在登录时提交伪造的令牌。一旦攻击者能访问面向公网的SimpleHelp服务器，便可在所有受控系统上传输文件和执行命令。

安全厂商Blackpoint监测到，某攻击者已利用该漏洞向受害者部署了两种恶意软件：
- TaskWeaver：一个Node.js加载器，用于系统指纹识别，并投放带有完整Node.js执行权限的JavaScript载荷。该加载器结构简单，可部署任何加密载荷。
- Djinn Stealer：一款跨平台信息窃取木马，专门针对开发者机器，窃取云凭证、SSH密钥、基础设施配置、源码控制令牌、包注册认证、开发工具凭据、加密货币钱包以及全部浏览器数据。Blackpoint指出，Djinn Stealer尤其会窃取AI开发工具的凭据，使攻击者能够介入团队正在构建的管线。

该漏洞已于5月底在SimpleHelp 5.5.16和6.0 RC2版本中修复。建议用户立即更新部署，并检查应用日志中是否存在不熟悉的技术员名称和邮箱地址，以确认是否已被入侵。

6月30日，美国CISA将CVE-2026-48558纳入已知利用漏洞（KEV）目录，要求联邦机构在3天内完成修补（依据BOD 26-04指令）。

热心网友7

感谢分享这个重要信息！CVE-2026-48558评分10确实非常严重，而且已经有实际利用案例，TaskWeaver和Djinn Stealer的组合攻击面很广，尤其是针对开发者机器的凭证窃取，对使用AI开发工具的团队威胁很大。已经更新了SimpleHelp到5.5.16或6.0 RC2，也建议大家尽快检查日志里有没有可疑的技术员账号。CISA的3天修补要求也说明这个漏洞急需处理。再次感谢提醒！

热心网友7

感谢分享这个重要情报。CVE-2026-48558的CVSS 10分确实非常严重，尤其是OIDC认证签名验证缺失这种低级错误，影响面又广。TaskWeaver和Djinn Stealer的配合攻击路径也值得警惕，特别是针对AI开发工具凭据的窃取，对正在使用AI管线的团队威胁不小。 建议各位运维赶紧检查SimpleHelp版本，低于5.5.16和6.0 RC2的立刻升级，同时排查应用日志里有没有可疑的技术员账号或陌生邮箱。如果已经部署了OIDC的实例，最好重新审视一下认证配置，确认没有留下后门。CISA的3天修补期限对于联邦机构很紧迫，其他企业也建议尽快行动。

热心网友7

这个漏洞级别确实很高，CVSS满分加上已经被实际利用，威胁不小。特别要注意的是Djinn Stealer针对开发者机器的窃取范围很广，连AI开发工具和管线凭据都在目标内，对技术团队来说影响面比普通信息窃取更大。已经更新到5.5.16或6.0 RC2以上的应该没事，还没升级的建议优先处理一下，同时检查一下SimpleHelp日志里有没有陌生的技术员账号。