Uma vulnerabilidade crítica no Progress Kemp LoadMaster pode permitir que um invasor não autenticado execute comandos arbitrários como root no appliance ao enviar uma requisição maliciosa para a sua API.
A falha, catalogada como CVE-2026-8037, possui pontuação CVSS (Sistema de Pontuação de Vulnerabilidades Comuns) de 9,8 segundo a ZDI (Zero Day Initiative). Já há correção disponível. Se você utiliza o LoadMaster com a API habilitada, atualize agora.
A Progress publicou seu comunicado em 4 de junho e afirma não ter recebido relatos de exploração. Em 29 de junho, pesquisadores da watchTowr Labs publicaram uma análise técnica detalhada que percorre toda a cadeia de exploração.
O que a falha faz
O LoadMaster é um controlador de entrega de aplicações (ADC) e balanceador de carga utilizado por empresas para gerenciar o tráfego entre servidores. Ele fica na borda da rede, o que torna qualquer falha pré-autenticação especialmente perigosa.
A vulnerabilidade está em uma função chamada escape_quotes(), que deveria sanitizar a entrada do usuário antes de ela ser passada a um comando de shell. A função tem o trabalho de escapar aspas simples para impedir que um invasor saia de uma string entre aspas e injete comandos. O problema: ela alocava um buffer de memória sem limpá-lo previamente e nunca gravava um terminador nulo no fim da string sanitizada.
Esse terminador ausente é a chave de toda a exploração. Sem ele, o sistema continua lendo além do final da entrada sanitizada, alcançando qualquer dado que esteja alocado na memória logo em seguida. O invasor pode controlar o que está ali injetando chaves extras em JSON (formato de intercâmbio de dados) na mesma requisição à API, cada uma carregando um payload de injeção de comando. O sistema lê a entrada sanitizada, continua, encontra o payload do invasor e o executa.
O ataque tem como alvo o endpoint /accessv2, responsável pela validação de credenciais da API. O invasor envia um corpo em JSON com um valor apiuser especialmente manipulado e dezenas de pares extras de chave-valor preenchidos com o comando que deseja executar. Não são necessárias credenciais válidas. O comando roda como root.
Versões afetadas e correção
A falha afeta o LoadMaster GA v7.2.63.1 e versões anteriores, além do LTSF v7.2.54.17 e versões anteriores, quando a API está habilitada. A Progress lançou as versões corrigidas: GA v7.2.63.2 e LTSF v7.2.54.18.
A correção em si é mínima. Duas alterações: a função de alocação de memória foi trocada de uma que deixa o buffer não inicializado para outra que o preenche com zeros, e um terminador nulo explícito foi adicionado após a saída escapada. Duas linhas de código que fecham um caminho até o root.
A vulnerabilidade foi descoberta por Syed Ibrahim Ahmed, da TrendAI Research, e reportada à Progress por meio da Zero Day Initiative em 15 de abril de 2026. A ZDI coordenou a divulgação pública do comunicado em 9 de junho. A watchTowr Labs analisou de forma independente o diff do patch e publicou sua própria análise técnica completa, com uma prova de conceito funcional, em 29 de junho.
A Progress também corrigiu uma segunda falha de alta gravidade no mesmo comunicado: a CVE-2026-33691, um bypass de WAF (Web Application Firewall) no qual o preenchimento com espaços em branco em nomes de arquivos poderia burlar verificações de extensão em uploads.
Um padrão que merece atenção
Esta não é a primeira falha crítica do LoadMaster. Em novembro de 2024, a CISA (Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos) adicionou uma falha anterior de injeção de comando no LoadMaster (CVE-2024-1212, CVSS 10,0) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após exploração confirmada em ambientes reais.
Em abril de 2026, a Progress corrigiu mais cinco falhas de alta gravidade no LoadMaster, quatro delas relacionadas a injeção de comando. A Progress também é responsável pelo MOVEit, cujas vulnerabilidades de 2023 alimentaram uma campanha de exploração em massa pelo grupo de ransomware Cl0p.
O Centro Canadense de Segurança Cibernática também emitiu um comunicado urging administradores a aplicarem as atualizações.
Até o momento, não há ataques relatados contra a CVE-2026-8037. Uma prova de conceito funcional já é pública. Aplique o patch e, em seguida, avalie se a API realmente precisa estar acessível externamente.