CVE-2026-8037: Vulnerabilidad crítica en Progress ADC
Resumen rápido
Se ha descubierto una vulnerabilidad crítica en los productos Progress ADC que permite la ejecución remota de código. La vulnerabilidad, identificada como CVE-2026-8037, tiene un puntaje CVSS de 9.6 y puede ser explotada por atacantes no autenticados.
CVE-2026-8037: RCE crítico sin autenticación en Progress Kemp LoadMaster
Una vulnerabilidad crítica en el balanceador de carga Progress Kemp LoadMaster permite a un atacante remoto ejecutar código sin autenticación a través de la API de administración. Dado el papel de estos dispositivos —expuestos y con visibilidad sobre el tráfico de aplicaciones—, el fallo es especialmente peligroso.
El problema
El fallo, CVE-2026-8037, tiene una puntuación CVSS 3.1 de 9.8 y consiste en una inyección de comandos (CWE-78) previa a la autenticación en la API del LoadMaster. Un atacante puede enviar una petición JSON manipulada al endpoint /accessv2 y ejecutar comandos arbitrarios en el sistema operativo del dispositivo.
La causa raíz está en la función interna escape_quotes(), que utiliza un búfer sin inicializar y omite el terminador nulo al procesar la entrada, permitiendo que la carga del atacante escape del contexto esperado y alcance el intérprete de comandos.
Versiones afectadas y corrección
- Rama GA: versiones ≤ 7.2.63.1 → corregido en 7.2.63.2.
- Rama LTSF: versiones ≤ 7.2.54.17 → corregido en 7.2.54.18.
El requisito para la explotación es que la API esté habilitada en el dispositivo.
Recomendaciones inmediatas
- Actualiza LoadMaster a 7.2.63.2 (GA) o 7.2.54.18 (LTSF) de inmediato.
- Restringe el acceso a la API de administración a redes de gestión de confianza; nunca la expongas a Internet.
- Deshabilita la API si no la utilizas.
- Revisa los registros en busca de peticiones anómalas a
/accessv2y de procesos hijo inesperados lanzados por el dispositivo.
¿Estás cubierto en DefensOps?
Desde el plan Essential, DefensOps detecta la explotación de dispositivos de red perimetrales:
- T1190 – Explotación de aplicación de cara a Internet: reglas que identifican patrones de inyección de comandos y peticiones malformadas contra APIs de administración expuestas como la de LoadMaster.
- T1059 – Intérprete de comandos y scripting: detección de la ejecución de comandos del sistema derivada de la explotación.
El motor de correlación enlaza la petición sospechosa a la API con la actividad de comandos resultante, elevando un incidente de alta prioridad ante un intento de RCE contra infraestructura de red.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1190, T1059
- Explotación pre-autenticación e inyección de comandos en balanceadores · T1190 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.