Uma vulnerabilidade crítica no Progress Kemp LoadMaster pode permitir que um invasor sem autenticação execute comandos arbitrários como root no appliance ao enviar uma requisição especialmente criada para a API.
A falha, identificada como
CVE-2026-8037
, tem score CVSS 9,8, segundo a ZDI. Há um patch disponível. Se você usa o LoadMaster com a API habilitada, a atualização deve ser aplicada imediatamente.
A Progress publicou um comunicado em 4 de junho e afirmou que não recebeu relatos de exploração. Em 29 de junho, pesquisadores da watchTowr Labs divulgaram uma análise técnica detalhada que mostra toda a cadeia de exploit.
O LoadMaster é um controller de entrega de aplicações e balanceador de carga usado por empresas para gerenciar o tráfego entre servidores. Ele fica na borda da rede, o que torna qualquer falha pré-autenticação especialmente perigosa.
A vulnerabilidade está em uma função chamada escape_quotes(), que deveria sanitizar a entrada do usuário antes de repassá-la a um comando de shell. A tarefa da função é escapar aspas simples para impedir que um invasor saia de uma string entre aspas e injete comandos. O problema é que ela alocava um buffer de memória sem zerá-lo antes e nunca gravava um terminador nulo no fim da string sanitizada.
Esse terminador ausente é o ponto central do exploit. Sem ele, o sistema continua lendo além do fim da entrada sanitizada e alcança outros dados que estejam ao lado na memória. O invasor pode controlar o que fica ali ao inserir chaves JSON extras na mesma requisição à API, cada uma com um payload de injeção de comandos. O sistema lê a entrada sanitizada, continua avançando, encontra o payload do invasor e o executa.
O ataque mira o endpoint /accessv2, que trata a validação de credenciais da API. O invasor envia um corpo JSON com um valor apiuser especialmente preparado e dezenas de pares chave-valor extras preenchidos com o comando que deseja executar. Não são necessárias credenciais válidas. O comando roda como root.
A falha afeta o LoadMaster GA v7.2.63.1 e anteriores, além do LTSF v7.2.54.17 e anteriores, quando a API está habilitada. A Progress liberou versões corrigidas: GA v7.2.63.2 e LTSF v7.2.54.18.
O patch é pequeno. Foram feitas duas mudanças: a função de alocação de memória foi trocada por uma que zera o buffer e foi adicionado um terminador nulo explícito após a saída escapada. São duas linhas de código que fecham uma rota para obtenção de root.
A vulnerabilidade foi descoberta por Syed Ibrahim Ahmed, da TrendAI Research, e reportada à Progress por meio da Zero Day Initiative em 15 de abril de 2026. A ZDI coordenou a divulgação pública do alerta em 9 de junho. Em 29 de junho, a watchTowr Labs analisou de forma independente o diff do patch e publicou sua própria explicação técnica completa, com uma proof of concept funcional.
A Progress também corrigiu outra falha de alta gravidade no mesmo comunicado:
CVE-2026-33691
, uma bypass de WAF em que o preenchimento com espaços em nomes de arquivo podia contornar as verificações de extensão em uploads.
Esta não é a primeira falha crítica no LoadMaster. Em novembro de 2024, a CISA adicionou uma vulnerabilidade anterior de injeção de comandos no LoadMaster, a
CVE-2024-1212
, com CVSS 10,0, ao catálogo de Known Exploited Vulnerabilities após confirmar exploração em ambiente real. Em abril de 2026, a Progress também corrigiu cinco outras falhas de alta gravidade no LoadMaster, quatro delas de injeção de comandos. A empresa também é a desenvolvedora do MOVEit, cujas vulnerabilidades em 2023 alimentaram uma campanha massiva de exploração conduzida pelo ransomware Cl0p.
O Canadian Centre for Cyber Security também publicou um alerta pedindo que administradores apliquem as atualizações.
Ainda não há relatos de ataques contra a
CVE-2026-8037
. Mas já existe uma proof of concept funcional disponível publicamente. Aplique o patch e, em seguida, avalie se a API realmente precisa estar acessível.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...