Cibersegurança

Falha no Progress Kemp LoadMaster pode permitir que invasores executem comandos como root sem autenticação

Uma vulnerabilidade crítica no Progress Kemp LoadMaster pode permitir que um invasor não autenticado execute comandos arbitrários como root no appliance ao enviar uma requisição maliciosa à API. A falha, catalogada como CVE-2026-8037, possui pontuação CVSS de 9,8 segundo a ZDI. Já há correção disponível. Se você utiliza o LoadMaster com a API habilitada, atualize agora.


Swati Khandelwal Terça - 30 de Junho de 2026 às 21:52
The Hacker News

Uma vulnerabilidade crítica no Progress Kemp LoadMaster pode permitir que um invasor não autenticado execute comandos arbitrários como root no appliance ao enviar uma requisição maliciosa para a sua API.

A falha, catalogada como CVE-2026-8037, possui pontuação CVSS (Sistema de Pontuação de Vulnerabilidades Comuns) de 9,8 segundo a ZDI (Zero Day Initiative). Já há correção disponível. Se você utiliza o LoadMaster com a API habilitada, atualize agora.

A Progress publicou seu comunicado em 4 de junho e afirma não ter recebido relatos de exploração. Em 29 de junho, pesquisadores da watchTowr Labs publicaram uma análise técnica detalhada que percorre toda a cadeia de exploração.

O que a falha faz

O LoadMaster é um controlador de entrega de aplicações (ADC) e balanceador de carga utilizado por empresas para gerenciar o tráfego entre servidores. Ele fica na borda da rede, o que torna qualquer falha pré-autenticação especialmente perigosa.

A vulnerabilidade está em uma função chamada escape_quotes(), que deveria sanitizar a entrada do usuário antes de ela ser passada a um comando de shell. A função tem o trabalho de escapar aspas simples para impedir que um invasor saia de uma string entre aspas e injete comandos. O problema: ela alocava um buffer de memória sem limpá-lo previamente e nunca gravava um terminador nulo no fim da string sanitizada.

Esse terminador ausente é a chave de toda a exploração. Sem ele, o sistema continua lendo além do final da entrada sanitizada, alcançando qualquer dado que esteja alocado na memória logo em seguida. O invasor pode controlar o que está ali injetando chaves extras em JSON (formato de intercâmbio de dados) na mesma requisição à API, cada uma carregando um payload de injeção de comando. O sistema lê a entrada sanitizada, continua, encontra o payload do invasor e o executa.

O ataque tem como alvo o endpoint /accessv2, responsável pela validação de credenciais da API. O invasor envia um corpo em JSON com um valor apiuser especialmente manipulado e dezenas de pares extras de chave-valor preenchidos com o comando que deseja executar. Não são necessárias credenciais válidas. O comando roda como root.

Versões afetadas e correção

A falha afeta o LoadMaster GA v7.2.63.1 e versões anteriores, além do LTSF v7.2.54.17 e versões anteriores, quando a API está habilitada. A Progress lançou as versões corrigidas: GA v7.2.63.2 e LTSF v7.2.54.18.

A correção em si é mínima. Duas alterações: a função de alocação de memória foi trocada de uma que deixa o buffer não inicializado para outra que o preenche com zeros, e um terminador nulo explícito foi adicionado após a saída escapada. Duas linhas de código que fecham um caminho até o root.

A vulnerabilidade foi descoberta por Syed Ibrahim Ahmed, da TrendAI Research, e reportada à Progress por meio da Zero Day Initiative em 15 de abril de 2026. A ZDI coordenou a divulgação pública do comunicado em 9 de junho. A watchTowr Labs analisou de forma independente o diff do patch e publicou sua própria análise técnica completa, com uma prova de conceito funcional, em 29 de junho.

A Progress também corrigiu uma segunda falha de alta gravidade no mesmo comunicado: a CVE-2026-33691, um bypass de WAF (Web Application Firewall) no qual o preenchimento com espaços em branco em nomes de arquivos poderia burlar verificações de extensão em uploads.

Um padrão que merece atenção

Esta não é a primeira falha crítica do LoadMaster. Em novembro de 2024, a CISA (Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos) adicionou uma falha anterior de injeção de comando no LoadMaster (CVE-2024-1212, CVSS 10,0) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após exploração confirmada em ambientes reais.

Em abril de 2026, a Progress corrigiu mais cinco falhas de alta gravidade no LoadMaster, quatro delas relacionadas a injeção de comando. A Progress também é responsável pelo MOVEit, cujas vulnerabilidades de 2023 alimentaram uma campanha de exploração em massa pelo grupo de ransomware Cl0p.

O Centro Canadense de Segurança Cibernática também emitiu um comunicado urging administradores a aplicarem as atualizações.

Até o momento, não há ataques relatados contra a CVE-2026-8037. Uma prova de conceito funcional já é pública. Aplique o patch e, em seguida, avalie se a API realmente precisa estar acessível externamente.

Article The Hacker News thehackernews.com