Basado en información de The Hacker News →
Introducción
Una puerta abierta en el proceso de login mediante OIDC permitió que un atacante sin credenciales accediera a sistemas de soporte remoto. La vulnerabilidad ya está siendo explotada para sembrar dos familias de malware que hasta ahora no se habían visto en la naturaleza.
El problema
Según reportó The Hacker News, un actor de amenazas aún no identificado está aprovechando activamente la vulnerabilidad CVE-2026-48558 en SimpleHelp, una herramienta de asistencia remota. Esta falla, catalogada con un puntaje CVSS de 10.0 — severidad máxima — permite una evasión de autenticación en el flujo OpenID Connect (OIDC). Al explotarla, un atacante no autenticado puede bypassear el proceso de inicio de sesión y desplegar dos nuevas familias de malware que los investigadores han denominado TaskWeaver y Djinn Stealer.
Consecuencias
El impacto inmediato es la instalación de malware en equipos que actúan como Gateway hacia redes corporativas. TaskWeaver opera como un backdoor persistente, mientras que Djinn Stealer se enfoca en sustraer credenciales y datos sensibles. Una vez dentro, el atacante puede moverse lateralmente, comprometer otros sistemas y exfiltrar información crítica sin necesidad de superar barreras de autenticación adicionales.
Causas
La causa raíz, según los datos públicos disponibles, es un defecto en la implementación del flujo OpenID Connect de SimpleHelp que permite a un atacante remoto no autenticado eludir por completo el proceso de verificación de identidad. Se trata de un error de lógica en el manejo de tokens OIDC, no de una falla de cifrado ni de un error de buffer overflow clásico.