CVE-2026-8037: RCE crítico sin autenticación en Progress Kemp LoadMaster

Una vulnerabilidad crítica en el balanceador de carga Progress Kemp LoadMaster permite a un atacante remoto ejecutar código sin autenticación a través de la API de administración. Dado el papel de estos dispositivos —expuestos y con visibilidad sobre el tráfico de aplicaciones—, el fallo es especialmente peligroso.

El problema

El fallo, CVE-2026-8037, tiene una puntuación CVSS 3.1 de 9.8 y consiste en una inyección de comandos (CWE-78) previa a la autenticación en la API del LoadMaster. Un atacante puede enviar una petición JSON manipulada al endpoint /accessv2 y ejecutar comandos arbitrarios en el sistema operativo del dispositivo.

La causa raíz está en la función interna escape_quotes(), que utiliza un búfer sin inicializar y omite el terminador nulo al procesar la entrada, permitiendo que la carga del atacante escape del contexto esperado y alcance el intérprete de comandos.

Versiones afectadas y corrección

  • Rama GA: versiones ≤ 7.2.63.1 → corregido en 7.2.63.2.
  • Rama LTSF: versiones ≤ 7.2.54.17 → corregido en 7.2.54.18.

El requisito para la explotación es que la API esté habilitada en el dispositivo.

Recomendaciones inmediatas

  • Actualiza LoadMaster a 7.2.63.2 (GA) o 7.2.54.18 (LTSF) de inmediato.
  • Restringe el acceso a la API de administración a redes de gestión de confianza; nunca la expongas a Internet.
  • Deshabilita la API si no la utilizas.
  • Revisa los registros en busca de peticiones anómalas a /accessv2 y de procesos hijo inesperados lanzados por el dispositivo.

¿Estás cubierto en DefensOps?

Desde el plan Essential, DefensOps detecta la explotación de dispositivos de red perimetrales:

  • T1190 – Explotación de aplicación de cara a Internet: reglas que identifican patrones de inyección de comandos y peticiones malformadas contra APIs de administración expuestas como la de LoadMaster.
  • T1059 – Intérprete de comandos y scripting: detección de la ejecución de comandos del sistema derivada de la explotación.

El motor de correlación enlaza la petición sospechosa a la API con la actividad de comandos resultante, elevando un incidente de alta prioridad ante un intento de RCE contra infraestructura de red.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News