A falha CVE-2026-8037 no Progress Kemp LoadMaster permite que qualquer invasor execute comandos como root, sem senha, por uma única requisição à API. O defeito, de gravidade CVSS 9.8, ganhou exploit público em 29 de junho de 2026 e ataques começaram no mesmo dia. Se o seu balanceador de carga tem a API ligada e roda versão antiga, a janela para atualizar é agora.
Resumo: o que importa
- O quê: execução remota de código (RCE) sem autenticação no Progress Kemp LoadMaster, rastreada como CVE-2026-8037.
- Gravidade: CVSS 9,8 (Crítica), atribuída pela Zero Day Initiative (ZDI).
- Como: um defeito de memória não inicializada na função
escape_quotes(), alcançável pelo endpoint/accessv2da API. - Quem descobriu: Syed Ibrahim Ahmed, da TrendAI Research, relatou à Progress pela ZDI em 15 de abril de 2026.
- Estado real: a eSentire confirmou tentativas de exploração a partir de 29 de junho de 2026, no mesmo dia em que a watchTowr Labs publicou um exploit funcional.
- O que fazer: atualizar para GA 7.2.63.2 ou LTSF 7.2.54.18 imediatamente; se não puder, desligar a API.
LoadMaster: a porta da rede
O Kemp LoadMaster é um controlador de entrega de aplicações (ADC) e balanceador de carga usado por empresas de todos os tamanhos para distribuir tráfego entre servidores, fazer offload de SSL/TLS, comutação de conteúdo e filtragem por um firewall de aplicações web embutido. A marca pertence à Progress Software — a mesma empresa por trás do MOVEit, cujas falhas em 2023 alimentaram uma campanha massiva do grupo ransomware Cl0p.
O problema de segurança específico deste tipo de equipamento é a posição que ele ocupa. O LoadMaster fica na borda da rede, à frente dos sistemas de produção. Uma falha que entrega root ali não compromete só o aparelho: abre caminho para interceptação de tráfego, roubo de credenciais das sessões que passam por ele e movimento lateral rumo aos servidores que ele protege, conforme detalhou a análise técnica do The Hacker News.
Dois erros de memória viram root
O coração da falha é pequeno e didático. A função escape_quotes() tem a tarefa de limpar a entrada do usuário antes de passá-la a um comando de shell. Ela escapa corretamente as aspas simples, mas, nas versões antigas, cometeu dois erros: alocou um buffer de memória sem limpá-lo (deixando lixo residual) e não escreveu o terminador nulo ao final da string tratada.
Sem o terminador nulo, a função sprintf simplesmente continua lendo além do fim do buffer e invade a memória heap adjacente. O atacante controla o que está nessa memória vizinha: basta encher a mesma requisição de API com dezenas de pares chave-valor extras, cada um carregando o comando que ele quer executar. O sistema lê a entrada tratada, segue adiante, encontra o payload do atacante e executa. Nenhuma credencial é necessária.
O alvo é o endpoint /accessv2, que valida credenciais de API. O invasor envia um corpo JSON com um valor apiuser especialmente montado (quatro aspas simples, que geram dezesseis bytes capazes de sobrescrever metadados do alocador no bloco vizinho) e o payload aninhado. O comando roda como root. A Cyber Security News, com base no relato da watchTowr Labs, descreveu toda a cadeia de exploração.
Quem está vulnerável
A falha só é explorável quando a API do LoadMaster está ativada e o aparelho é alcançável pela rede — seja pela internet pública, seja de dentro da rede interna. A tabela abaixo resume o cenário de versões.
| Ramo | Versões afetadas | Versão corrigida |
|---|---|---|
| General Availability (GA) | 7.2.63.1 e anteriores | GA 7.2.63.2 |
| Long-Term Support (LTSF) | 7.2.54.17 e anteriores | LTSF 7.2.54.18 |
A Progress liberou as correções em 4 de junho de 2026. O patch em si é enxuto: a função de alocação foi trocada por uma que preenche o buffer com zeros, e um terminador nulo explícito foi adicionado depois da saída escapada. Duas linhas de código fecharam o caminho até o root. No mesmo boletim, a empresa corrigiu uma segunda falha de alta gravidade, a CVE-2026-33691, um desvio do WAF em que espaços no nome de arquivos burlavam a checagem de extensão de upload.
O exploit público mudou o jogo
O prazo entre o patch (4 de junho) e a publicação do exploit (29 de junho) foi de cerca de três semanas — uma janela de divulgação considerada padrão, pensada para dar tempo de atualizar. A watchTowr Labs analisou o diff do patch e publicou, em 29 de junho, um proof-of-concept completo, funcional, com código que reproduz toda a cadeia: da requisição de API ao comando como root.
A consequência foi imediata. A Unidade de Resposta a Ameaças da eSentire confirmou tentativas de exploração que começaram exatamente em 29 de junho. Nos casos revisados pela empresa, nenhuma invasão teve sucesso, mas o sinal é claro: quem não atualizou dentro daquelas três semanas agora enfrenta código de ataque público e documentado. Qualquer pessoa com acesso de rede a um LoadMaster desatualizado pode seguir a cadeia sem precisar desenvolver nada sozinha, como observou o Daily Security Review.
Um histórico que pesa
Esta não é a primeira falha grave do LoadMaster. Em novembro de 2024, a CISA adicionou uma falha anterior de injeção de comando no equipamento — a CVE-2024-1212, com CVSS 10,0 — ao seu catálogo de Vulnerabilidades Conhecidas como Exploradas (KEV), após exploração confirmada na natureza. Em abril de 2026, a Progress havia corrigido mais cinco falhas de alta gravidade no LoadMaster, quatro delas de injeção de comando. O padrão de bugs recorrentes na mesma superfície (entrada de usuário passando direto para shell) é o que torna a higiene de atualização deste produto particularmente crítica.
O Centro Canadense de Cibersegurança (Canadian Centre for Cyber Security) também emitiu um alerta recomendando que administradores apliquem as atualizações. Embora a Progress, no boletim original, afirmasse não ter recebido relatos de exploração, a linha do tempo mostra que a situação evoluiu: o exploit caiu no fim de junho e as tentativas começaram no mesmo dia.
O que fazer agora
- Atualize sem demora. Aplique GA 7.2.63.2 ou LTSF 7.2.54.18 em todo aparelho LoadMaster. Se a API está ligada, a atualização é prioritária.
- Desligue a API se não puder atualizar. Enquanto o patch não entra, desativar a API do LoadMaster remove o caminho de ataque exposto.
- Feche o acesso externo. Restrinja a interface de gerenciamento e a API a redes administrativas confiáveis; nunca deixe o LoadMaster exposto diretamente à internet sem necessidade.
- Revise os logs. Busque requisições ao endpoint
/accessv2com corpos JSON anormalmente grandes ou com camposapiuserestranhos. Consulte os indicadores de comprometimento publicados pela eSentire. - Trate o aparelho como comprometido, se aplicável. Quem roda versão antiga com API ligada desde 29 de junho deve considerar que o sistema pode ter sido invadido antes do patch — corrigir não revela invasões passadas.
- Aplique também a CVE-2026-33691. O desvio do WAF no mesmo boletim não dá root, mas abre outra porta que vale fechar.
Leia também
- O LoadMaster vive da borda da rede — e é justamente aí que vivem os ataques de negação de serviço (DoS e DDoS) que ele ajuda a mitigar. Entenda as duas faces do equipamento.
- Falhas críticas exploradas na natureza viraram rotina: veja como o SimpleHelp CVSS 10 invadiu milhares de redes pouco antes desta onda de patches.
- O mesmo padrão — RCE sem autenticação em software corporativo — aparece no zero-day do SharePoint que dá acesso total sem login. Conheça os controles que reduzem esse risco.
Referências
- The Hacker News — Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands
- Security Online — Kemp LoadMaster RCE Vulnerability Exploited in the Wild After Public PoC Release
- Cyber Security News — Critical Progress Kemp LoadMaster Vulnerability Enables Pre-Auth RCE
- Daily Security Review — Working Exploit Published for LoadMaster CVE-2026-8037 RCE
- eSentire — Progress Kemp LoadMaster Vulnerability Targeted (CVE-2026-8037)