A falha CVE-2026-8037 no Progress Kemp LoadMaster permite que qualquer invasor execute comandos como root, sem senha, por uma única requisição à API. O defeito, de gravidade CVSS 9.8, ganhou exploit público em 29 de junho de 2026 e ataques começaram no mesmo dia. Se o seu balanceador de carga tem a API ligada e roda versão antiga, a janela para atualizar é agora.

Resumo: o que importa

  • O quê: execução remota de código (RCE) sem autenticação no Progress Kemp LoadMaster, rastreada como CVE-2026-8037.
  • Gravidade: CVSS 9,8 (Crítica), atribuída pela Zero Day Initiative (ZDI).
  • Como: um defeito de memória não inicializada na função escape_quotes(), alcançável pelo endpoint /accessv2 da API.
  • Quem descobriu: Syed Ibrahim Ahmed, da TrendAI Research, relatou à Progress pela ZDI em 15 de abril de 2026.
  • Estado real: a eSentire confirmou tentativas de exploração a partir de 29 de junho de 2026, no mesmo dia em que a watchTowr Labs publicou um exploit funcional.
  • O que fazer: atualizar para GA 7.2.63.2 ou LTSF 7.2.54.18 imediatamente; se não puder, desligar a API.

LoadMaster: a porta da rede

O Kemp LoadMaster é um controlador de entrega de aplicações (ADC) e balanceador de carga usado por empresas de todos os tamanhos para distribuir tráfego entre servidores, fazer offload de SSL/TLS, comutação de conteúdo e filtragem por um firewall de aplicações web embutido. A marca pertence à Progress Software — a mesma empresa por trás do MOVEit, cujas falhas em 2023 alimentaram uma campanha massiva do grupo ransomware Cl0p.

O problema de segurança específico deste tipo de equipamento é a posição que ele ocupa. O LoadMaster fica na borda da rede, à frente dos sistemas de produção. Uma falha que entrega root ali não compromete só o aparelho: abre caminho para interceptação de tráfego, roubo de credenciais das sessões que passam por ele e movimento lateral rumo aos servidores que ele protege, conforme detalhou a análise técnica do The Hacker News.

Dois erros de memória viram root

O coração da falha é pequeno e didático. A função escape_quotes() tem a tarefa de limpar a entrada do usuário antes de passá-la a um comando de shell. Ela escapa corretamente as aspas simples, mas, nas versões antigas, cometeu dois erros: alocou um buffer de memória sem limpá-lo (deixando lixo residual) e não escreveu o terminador nulo ao final da string tratada.

Sem o terminador nulo, a função sprintf simplesmente continua lendo além do fim do buffer e invade a memória heap adjacente. O atacante controla o que está nessa memória vizinha: basta encher a mesma requisição de API com dezenas de pares chave-valor extras, cada um carregando o comando que ele quer executar. O sistema lê a entrada tratada, segue adiante, encontra o payload do atacante e executa. Nenhuma credencial é necessária.

O alvo é o endpoint /accessv2, que valida credenciais de API. O invasor envia um corpo JSON com um valor apiuser especialmente montado (quatro aspas simples, que geram dezesseis bytes capazes de sobrescrever metadados do alocador no bloco vizinho) e o payload aninhado. O comando roda como root. A Cyber Security News, com base no relato da watchTowr Labs, descreveu toda a cadeia de exploração.

Quem está vulnerável

A falha só é explorável quando a API do LoadMaster está ativada e o aparelho é alcançável pela rede — seja pela internet pública, seja de dentro da rede interna. A tabela abaixo resume o cenário de versões.

Ramo Versões afetadas Versão corrigida
General Availability (GA) 7.2.63.1 e anteriores GA 7.2.63.2
Long-Term Support (LTSF) 7.2.54.17 e anteriores LTSF 7.2.54.18

A Progress liberou as correções em 4 de junho de 2026. O patch em si é enxuto: a função de alocação foi trocada por uma que preenche o buffer com zeros, e um terminador nulo explícito foi adicionado depois da saída escapada. Duas linhas de código fecharam o caminho até o root. No mesmo boletim, a empresa corrigiu uma segunda falha de alta gravidade, a CVE-2026-33691, um desvio do WAF em que espaços no nome de arquivos burlavam a checagem de extensão de upload.

O exploit público mudou o jogo

O prazo entre o patch (4 de junho) e a publicação do exploit (29 de junho) foi de cerca de três semanas — uma janela de divulgação considerada padrão, pensada para dar tempo de atualizar. A watchTowr Labs analisou o diff do patch e publicou, em 29 de junho, um proof-of-concept completo, funcional, com código que reproduz toda a cadeia: da requisição de API ao comando como root.

A consequência foi imediata. A Unidade de Resposta a Ameaças da eSentire confirmou tentativas de exploração que começaram exatamente em 29 de junho. Nos casos revisados pela empresa, nenhuma invasão teve sucesso, mas o sinal é claro: quem não atualizou dentro daquelas três semanas agora enfrenta código de ataque público e documentado. Qualquer pessoa com acesso de rede a um LoadMaster desatualizado pode seguir a cadeia sem precisar desenvolver nada sozinha, como observou o Daily Security Review.

Um histórico que pesa

Esta não é a primeira falha grave do LoadMaster. Em novembro de 2024, a CISA adicionou uma falha anterior de injeção de comando no equipamento — a CVE-2024-1212, com CVSS 10,0 — ao seu catálogo de Vulnerabilidades Conhecidas como Exploradas (KEV), após exploração confirmada na natureza. Em abril de 2026, a Progress havia corrigido mais cinco falhas de alta gravidade no LoadMaster, quatro delas de injeção de comando. O padrão de bugs recorrentes na mesma superfície (entrada de usuário passando direto para shell) é o que torna a higiene de atualização deste produto particularmente crítica.

O Centro Canadense de Cibersegurança (Canadian Centre for Cyber Security) também emitiu um alerta recomendando que administradores apliquem as atualizações. Embora a Progress, no boletim original, afirmasse não ter recebido relatos de exploração, a linha do tempo mostra que a situação evoluiu: o exploit caiu no fim de junho e as tentativas começaram no mesmo dia.

O que fazer agora

  1. Atualize sem demora. Aplique GA 7.2.63.2 ou LTSF 7.2.54.18 em todo aparelho LoadMaster. Se a API está ligada, a atualização é prioritária.
  2. Desligue a API se não puder atualizar. Enquanto o patch não entra, desativar a API do LoadMaster remove o caminho de ataque exposto.
  3. Feche o acesso externo. Restrinja a interface de gerenciamento e a API a redes administrativas confiáveis; nunca deixe o LoadMaster exposto diretamente à internet sem necessidade.
  4. Revise os logs. Busque requisições ao endpoint /accessv2 com corpos JSON anormalmente grandes ou com campos apiuser estranhos. Consulte os indicadores de comprometimento publicados pela eSentire.
  5. Trate o aparelho como comprometido, se aplicável. Quem roda versão antiga com API ligada desde 29 de junho deve considerar que o sistema pode ter sido invadido antes do patch — corrigir não revela invasões passadas.
  6. Aplique também a CVE-2026-33691. O desvio do WAF no mesmo boletim não dá root, mas abre outra porta que vale fechar.

Leia também

Referências