Una vulnerabilidad crítica continua en Kemp LoadMaster podría permitir que un atacante no autenticado ejecute comandos arbitrarios como root en el dispositivo enviando una solicitud diseñada a la API.
Según ZDI, esta falla se rastrea como CVE-2026-8037 y tiene una puntuación CVSS de 9,8. Hay un parche disponible. Si está ejecutando LoadMaster con la API habilitada, actualice ahora.
Progress emitió el aviso el 4 de junio, pero dijo que no había recibido ningún informe de abuso. El 29 de junio, investigadores de watchTowr Labs publicaron un documento técnico detallado que describe toda la cadena de exploits.
Impacto de los defectos
LoadMaster es un controlador de entrega de aplicaciones y un equilibrador de carga que las empresas utilizan para gestionar el tráfico entre servidores. Debido a que está ubicado en el borde de la red, las fallas de autenticación previa son especialmente peligrosas.
La vulnerabilidad existe en una función llamada escape_quotes() que se supone que desinfecta la entrada del usuario antes de pasarla a un comando de shell. La función de esta función es escapar de las comillas simples para que un atacante no pueda salir de la cadena entre comillas e insertar comandos. El problema es que no está asignando el búfer de memoria sin borrarlo primero y escribir un terminador nulo al final de la cadena desinfectada.
Este terminador que falta es la totalidad del exploit. Sin esto, el sistema continuaría leyendo más allá del final de la entrada desinfectada hasta cualquier dato que se encuentre junto a él en la memoria. Un atacante puede controlar lo que hay allí insertando claves JSON adicionales en la misma solicitud API, cada una con una carga útil de inyección de comando. El sistema lee la entrada desinfectada y procede a atacar la carga útil del atacante y ejecutarla.
Este ataque tiene como objetivo el punto final /accessv2, que maneja la validación de credenciales API. El atacante envía un cuerpo JSON que contiene un valor de apiuser especialmente diseñado y docenas de pares clave-valor adicionales rociados con los comandos que desean ejecutar. No se requieren credenciales válidas. Los comandos se ejecutan como root.
Versiones afectadas y correcciones
Esta falla afecta a LoadMaster GA v7.2.63.1 y anteriores y a LTSF v7.2.54.17 y anteriores cuando la API está habilitada. Progress ha lanzado versiones fijas GA v7.2.63.2 y LTSF v7.2.54.18.
El parche en sí es mínimo. Dos cambios: la función de asignación de memoria se cambió de una que dejaba el búfer sin inicializar a una que lo ponía a cero, y se agregó un terminador nulo explícito después de la salida de escape. Dos líneas de código que cierran el camino a la raíz.
Esta vulnerabilidad fue descubierta por Syed Ibrahim Ahmed de TrendAI Research y reportada a Progress a través de la Iniciativa Día Cero el 15 de abril de 2026. ZDI coordinó un comunicado de aviso público el 9 de junio. watchTowr Labs analizó de forma independiente las diferencias del parche y publicó sus propios detalles técnicos completos, incluida una prueba de concepto funcional, el 29 de junio.
Progress también solucionó una segunda falla de alta gravedad en el mismo aviso, CVE-2026-33691. Esta es una omisión de WAF que le permite omitir la verificación de la extensión de carga de archivos rellenando el nombre del archivo con espacios.
patrón notable
Este no es el primer defecto importante de LoadMaster. En noviembre de 2024, CISA agregó la falla de inyección de comando LoadMaster anterior (CVE-2024-1212, CVSS 10.0) a su catálogo de vulnerabilidades explotadas conocidas después de que se confirmó que estaba explotada en la naturaleza.
En abril de 2026, Progress solucionó cinco fallos adicionales de alta gravedad en LoadMaster, cuatro de los cuales eran problemas de inyección de comandos. El progreso también es el creador de MOVEit. La vulnerabilidad MOVEit 2023 facilitó una campaña de explotación a gran escala por parte del grupo de ransomware Cl0p.
El Centro Canadiense de Seguridad Cibernética también emitió un aviso instando a los administradores a aplicar la actualización.
Aún no se han reportado ataques contra CVE-2026-8037. Se ha publicado una prueba funcional de concepto. Aplique el parche y luego verifique si se debe poder acceder a la API.
Source link
