CVE-2026-8037, com pontuação CVSS 9.8, explora ausência de terminador nulo na função escape_quotes() do endpoint /accessv2; correções GA v7.2.63.2 e LTSF v7.2.54.18 já estão disponíveis
| Componente | Progress Kemp LoadMaster — controlador de entrega de aplicações e balanceador de carga — na função escape_quotes() do endpoint de API /accessv2, com API habilitada |
| Vetor | Requisição JSON não autenticada ao /accessv2 com valor apiuser manipulado e múltiplos pares chave-valor adicionais que posicionam payload de injeção de comando na memória adjacente ao buffer sanitizado |
| Impacto | Execução arbitrária de comandos no appliance com privilégios de root, sem credenciais válidas; nenhuma exploração confirmada em produção até o momento, mas prova de conceito funcional já foi publicada |
| Prioridade | Aplicar imediatamente GA v7.2.63.2 ou LTSF v7.2.54.18 e reavaliar se a API precisa permanecer exposta na borda de rede |
| Versões | Afetadas: GA v7.2.63.1 e anteriores, LTSF v7.2.54.17 e anteriores; corrigidas: GA v7.2.63.2 e LTSF v7.2.54.18 |
| Mitigação | Atualização oficial da Progress; restrição de acesso à API por segmentação de rede; monitoramento de chamadas anômalas ao /accessv2 |
O Progress Kemp LoadMaster concentra tráfego de aplicações em ambientes corporativos e, por operar frequentemente na borda da rede, amplifica o risco de falhas que não exigem autenticação prévia. A vulnerabilidade CVE-2026-8037 permite que um atacante remoto, sem credenciais válidas, execute comandos arbitrários com privilégios de root no appliance ao interagir com a API REST do produto. A falha recebeu pontuação CVSS 9.8 pelo Zero Day Initiative e foi corrigida em versões específicas das ramificações GA e LTSF.
A origem do defeito está na função escape_quotes(), responsável por escapar aspas simples em entradas de usuário antes de incorporá-las a um comando de shell. O código alocava um buffer de memória sem inicializá-lo e não gravava um terminador nulo ao final da string sanitizada. Essa omissão permite leitura além do limite do buffer, incorporando bytes adjacentes — controláveis pelo atacante — ao comando efetivamente executado. A Progress publicou advisory em 4 de junho de 2026 e informou não ter recebido relatos de exploração ativa. Em 29 de junho, pesquisadores da watchTowr Labs divulgaram análise técnica detalhada da cadeia de exploração, incluindo prova de conceito funcional.
O caso reforça um padrão recorrente no ecossistema LoadMaster: em novembro de 2024, a CISA incluiu CVE-2024-1212 — outra injeção de comando com CVSS 10.0 — no catálogo Known Exploited Vulnerabilities após exploração confirmada. Em abril de 2026, a Progress corrigiu cinco falhas adicionais de alta severidade, quatro delas relacionadas a injeção de comando. O Canadian Centre for Cyber Security também emitiu alerta recomendando aplicação imediata das atualizações.
O vetor de ataque concentra-se no endpoint /accessv2, utilizado para validação de credenciais da API. O atacante envia um corpo JSON contendo um valor apiuser especialmente construído e dezenas de pares chave-valor suplementares. Cada par adicional funciona como veículo para posicionar na memória o conteúdo que será lido após o fim da string sanitizada pela escape_quotes(). Como o buffer não é zerado na alocação e a string resultante não recebe terminador nulo, o processamento subsequente continua consumindo bytes até encontrar um byte nulo em região de memória controlável pelo requisitante.
A função escape_quotes() deveria impedir que aspas simples quebrassem o contexto de uma string entre aspas em comandos de shell. Na implementação vulnerável, a sanitização produz uma saída de tamanho finito, mas o consumidor do buffer interpreta o conteúdo como string C tradicional, estendendo a leitura para além do trecho escapado. Ao preencher chaves JSON extras com conteúdo malicioso, o atacante influencia diretamente o que reside imediatamente após o buffer na pilha ou no heap, dependendo do layout de memória no momento da requisição.
Não são necessárias credenciais API válidas: a falha ocorre durante o processamento da requisição de validação, antes de qualquer autenticação bem-sucedida. O comando resultante executa no contexto do sistema operacional subjacente ao appliance, com privilégios de root. A correção divulgada pela Progress altera dois pontos no código: substitui a rotina de alocação por uma que preenche o buffer com zeros e adiciona explicitamente o terminador nulo após a saída escapada. A vulnerabilidade foi descoberta por Syed Ibrahim Ahmed, da TrendAI Research, reportada ao ZDI em 15 de abril de 2026, com coordenação pública do advisory em 9 de junho.
No mesmo advisory, a Progress também corrigiu CVE-2026-33691, falha de alta severidade que permite contornar o WAF do produto mediante preenchimento com espaços em branco no nome de arquivos durante verificações de extensão em uploads. Embora distinta em mecanismo, essa segunda correção reforça a necessidade de tratar o pacote de atualizações de junho como conjunto integrado de remediações.
A exposição depende diretamente da API REST estar habilitada no appliance. Organizações que mantêm LoadMaster apenas para balanceamento sem interface de gerenciamento programático podem não estar no escopo imediato, mas qualquer instância com API ativa na borda ou acessível internamente representa alvo potencial.
Dispositivos nas versões GA até v7.2.63.1 e LTSF até v7.2.54.17 permanecem vulneráveis até a aplicação dos respectivos patches. Como o LoadMaster frequentemente atua como ponto de entrada para farms de servidores, o comprometimento com privilégios de root pode facilitar interceptação de tráfego, manipulação de regras de roteamento, implantação de persistência na infraestrutura de entrega e movimentação lateral em direção a backends protegidos.
- LoadMaster GA v7.2.63.1 e versões anteriores com API habilitada
- LoadMaster LTSF v7.2.54.17 e versões anteriores com API habilitada
- Endpoint /accessv2 acessível via rede, sem exigência de credenciais válidas para disparar a falha
- Appliances posicionados na borda corporativa ou em segmentos DMZ com API exposta
Equipes de detecção devem priorizar telemetria de acesso à API do LoadMaster, especialmente requisições HTTP ou HTTPS direcionadas ao caminho /accessv2. Padrões anômalos incluem corpos JSON com quantidade elevada de chaves arbitrárias além dos campos esperados para autenticação, valores apiuser incomuns em extensão ou composição de caracteres, e requisições originadas de endereços que normalmente não administram o appliance.
Em ambientes que registram execução de processos no appliance ou em sistemas de log centralizados do fabricante, investigadores devem procurar processos filho inesperados disparados pelo serviço da API, especialmente shells ou utilitários de sistema logo após requisições ao endpoint vulnerável. A ausência de exploração confirmada em campo não elimina o risco: a publicação de prova de conceito funcional pela watchTowr Labs em 29 de junho eleva a probabilidade de varredura automatizada contra instâncias expostas na internet.
Correlação temporal entre tentativas de autenticação falhas ou requisições malformadas ao /accessv2 e atividade de rede incomum — conexões de saída não usuais, transferências para destinos externos ou alterações em certificados e configurações de balanceamento — pode indicar exploração bem-sucedida. Revisar também histórico de versão do firmware para confirmar se o appliance permanece abaixo dos limiares corrigidos.
- Volume anormal de chaves JSON em POST para /accessv2
- Requisições não autenticadas repetidas ao endpoint de validação de credenciais
- Processos de sistema iniciados pelo serviço da API sem correspondência em janelas de manutenção
- Appliances LoadMaster com versão inferior a GA v7.2.63.2 ou LTSF v7.2.54.18 expostos em varreduras externas
A remediação primária consiste na aplicação imediata das versões corrigidas: GA v7.2.63.2 para a ramificação de disponibilidade geral e LTSF v7.2.54.18 para a ramificação de suporte de longo prazo. A correção aborda diretamente a raiz do problema — buffer não inicializado e ausência de terminador nulo — e deve ser tratada como urgente dada a criticidade da pontuação CVSS e a disponibilidade pública de prova de conceito.
Após o patch, administradores devem reavaliar a superfície de ataque: a API do LoadMaster precisa estar acessível apenas a redes de gerenciamento restritas, preferencialmente atrás de VPN ou jump hosts, e não exposta diretamente à internet. Onde a API não for estritamente necessária para operação, desabilitá-la elimina o vetor de CVE-2026-8037 sem depender exclusivamente da versão de firmware.
No mesmo ciclo de manutenção, aplicar a correção de CVE-2026-33691 para fechar o bypass de WAF em uploads. Dado o histórico recente de múltiplas injeções de comando no produto — incluindo CVE-2024-1212 explorada ativamente — recomenda-se inventário completo de appliances Kemp na organização, validação de versão em cada unidade e integração dos identificadores CVE-2026-8037 e CVE-2026-33691 em processos de gestão de vulnerabilidades e monitoramento contínuo de exposição externa.
- Atualizar para LoadMaster GA v7.2.63.2 ou LTSF v7.2.54.18 conforme a ramificação em uso
- Restringir acesso à API por ACL de rede, segmentação e remoção de exposição pública desnecessária
- Desabilitar a API REST quando não houver requisito operacional que a justifique
- Aplicar o pacote completo do advisory de junho, incluindo CVE-2026-33691
- Incluir appliances LoadMaster em varreduras de superfície externa e em programas de resposta a vulnerabilidades críticas pré-autenticação
0 Comentários