Vulnerabilidad crítica en Progress Kemp LoadMaster permite ejecución remota de comandos
Publicado el
Descripción de la vulnerabilidad
Se ha identificado una vulnerabilidad crítica en Progress Kemp LoadMaster que permite a un atacante sin autenticación ejecutar comandos arbitrarios con privilegios de root mediante el envío de una solicitud manipulada a su API. Esta vulnerabilidad, registrada como CVE-2026-8037, tiene una puntuación de CVSS de 9.8, lo que indica su gravedad. Progress ha publicado un aviso al respecto el 4 de junio y ha confirmado que no se han recibido informes de explotación hasta la fecha.
Detalles sobre el fallo
LoadMaster es un controlador de entrega de aplicaciones y balanceador de carga utilizado por empresas para gestionar el tráfico entre servidores. Su posición en el borde de la red hace que cualquier fallo de pre-autenticación sea especialmente peligroso. La vulnerabilidad se encuentra en una función denominada escape_quotes(), que debería sanitizar la entrada del usuario antes de que se pase a un comando de shell. Sin embargo, el problema radica en que esta función no limpia adecuadamente el buffer de memoria y no añade un terminador nulo al final de la cadena sanitizada. Esto permite que el sistema lea más allá del final de la entrada sanitizada, accediendo a datos cercanos en memoria que el atacante puede controlar.
Al enviar una carga útil JSON en la misma solicitud API, el atacante puede incluir múltiples pares clave-valor con comandos maliciosos. El sistema, al procesar la entrada sanitizada, continúa leyendo y ejecuta el comando malicioso como si fuera parte de la solicitud válida. El ataque se dirige al endpoint /accessv2, que gestiona la validación de credenciales API, y no requiere credenciales válidas.
Versiones afectadas y solución
Esta vulnerabilidad afecta a las versiones GA v7.2.63.1 y anteriores, así como a LTSF v7.2.54.17 y anteriores, siempre que la API esté habilitada. Progress ha lanzado versiones corregidas: GA v7.2.63.2 y LTSF v7.2.54.18. La solución consiste en un par de cambios mínimos en el código: se sustituyó la función de asignación de memoria por otra que inicializa el buffer y se añadió un terminador nulo explícito tras la salida sanitizada.
Contexto de la vulnerabilidad
La vulnerabilidad fue descubierta por Syed Ibrahim Ahmed de TrendAI Research y reportada a Progress a través de la Zero Day Initiative el 15 de abril de 2026. El 9 de junio, ZDI coordinó la publicación del aviso público. El 29 de junio, watchTowr Labs publicó un análisis técnico detallado de la vulnerabilidad junto con una prueba de concepto.
Además, Progress ha abordado un segundo fallo de alta severidad en el mismo aviso: CVE-2026-33691, que permite eludir controles de extensión de archivos en la carga de archivos a través de padding en nombres de archivos.
Vigilancia de patrones
No es la primera vez que LoadMaster enfrenta una vulnerabilidad crítica. En noviembre de 2024, CISA incluyó un fallo anterior de inyección de comandos (CVE-2024-1212, CVSS 10.0) en su catálogo de Vulnerabilidades Conocidas Explotadas tras confirmarse su explotación. En abril de 2026, Progress solucionó cinco vulnerabilidades adicionales de alta severidad en LoadMaster, cuatro de ellas relacionadas con inyección de comandos. Además, Progress es el desarrollador de MOVEit, que sufrió vulnerabilidades en 2023 que provocaron una campaña de explotación masiva por parte del grupo de ransomware Cl0p.
El Centro Canadiense de Ciberseguridad también ha emitido un aviso instando a los administradores a aplicar las actualizaciones. Hasta el momento, no se han reportado ataques relacionados con CVE-2026-8037, aunque ya se ha hecho pública una prueba de concepto funcional. Es recomendable aplicar el parche y evaluar si la API necesita estar accesible.