Uma falha crítica no Kemp LoadMaster (CVE-2026-8037, CVSS 9.8) da Progress Software permite execução remota de comandos como root sem autenticação. Um buffer de memória não inicializado na função de sanitização de entrada transforma um mecanismo de proteção em porta de entrada para RCE. Proof-of-concept funcional está público desde 29 de junho. Correções existem desde 4 de junho — quem ainda não atualizou está com a porta aberta.

O que é o CVE-2026-8037

O Kemp LoadMaster é um application delivery controller (ADC) e balanceador de carga usado por empresas para distribuir tráfego entre servidores. Ele opera na borda da rede, fazendo SSL offloading, content switching e health checking. Segundo o Zero Day Initiative (ZDI-26-342), a vulnerabilidade atinge o endpoint /accessv2, responsável pela validação de credenciais da API. O atacante envia um JSON com um campo apiuser especialmente construído — nenhuma senha válida é necessária.

A falha foi descoberta por Syed Ibrahim Ahmed, pesquisador da TrendAI Research, e reportada ao ZDI em 15 de abril de 2026. A divulgação coordenada aconteceu em 9 de junho. A Progress publicou seu bulletin de segurança em 4 de junho.

Como a exploração funciona

O coração do problema é uma função C chamada escape_quotes(). O papel dela é simples: receber uma string do usuário e escapar as aspas simples antes de inserir o valor dentro de um argumento entre aspas no shell. Se a entrada contém aspas, a função aloca um novo buffer com malloc(), percorre a string caractere a caractere e expande cada ' na sequência '\''.

O erro tem duas partes. Primeiro, malloc() não zera o buffer — os bytes alocados contêm lixo de memória heap. Segundo, a função nunca escreve um terminador nulo (\0) ao final da string escapada. Resultado: quando o sistema lê a saída sanitizada, ele continua avançando na memória além do fim correto, consumindo o que estiver adjacente.

O atacante controla esse conteúdo adjante ao encher o mesmo corpo JSON com dezenas de chaves-valor adicionais contendo o comando desejado. O sistema processa a entrada, passa pela sanitização quebrada, ultrapassa o limite e executa o payload do atacante como root. A watchTowr Labs publicou em 29 de junho a análise completa do diff de patch com proof-of-concept funcional.

Versões afetadas e correção

A vulnerabilidade afeta todas as versões do Kemp LoadMaster com a API habilitada. A tabela abaixo resume o impacto:

Versão Status Versão corrigida
GA v7.2.63.1 e anteriores Vulnerável GA v7.2.63.2
LTSF v7.2.54.17 e anteriores Vulnerável LTSF v7.2.54.18

A Progress liberou as correções em 4 de junho. O patch é enxuto: duas linhas. A alocação passou de malloc() para calloc() (que zera o buffer), e um terminador nulo explícito foi adicionado após a saída escapada. É o fechamento definitivo de um caminho direto para o root.

A Canadian Centre for Cyber Security emitiu alerta (AV26-552) recomendando que administradores apliquem as atualizações imediatamente. A Progress declarou não ter recebido relatos de exploração até o momento.

Uma segunda falha no mesmo pacote

No mesmo bulletin, a Progress corrigiu também a CVE-2026-33691, uma falha de gravidade alta que permite bypass do WAF integrado do LoadMaster. O problema está na validação de extensões em uploads de arquivo: ao adicionar espaços em branco ao nome do arquivo, o WAF deixa passar extensões bloqueadas. Quem usar o LoadMaster como firewall de aplicações precisa atualizar por essa falha também.

Um padrão preocupante na Progress

Esta não é a primeira vulnerabilidade crítica no Kemp LoadMaster. Em novembro de 2024, a CISA adicionou a CVE-2024-1212 ao catálogo de vulnerabilidades exploradas (CVSS 10.0) após confirmação de ataques reais. Em abril de 2026, a Progress corrigiu cinco falhas adicionais de alta gravidade, quatro das quais eram injeção de comandos. A Progress é a mesma empresa por trás do MOVEit Transfer, cujas vulnerabilidades em 2023 alimentaram uma campanha massiva do grupo Cl0p.

O que fazer agora

Se sua organização usa Kemp LoadMaster, as prioridades são claras. Atualize para GA v7.2.63.2 ou LTSF v7.2.54.18 imediatamente. A Progress afirma que não há exploração confirmada, mas o PoC funcional da watchTowr está público desde 29 de junho — isso reduz o tempo entre divulgação e exploração ativa para dias, não semanas.

Recomendações técnicas adicionais para equipes de segurança:

  1. Verifique se a API do LoadMaster fica exposta à internet. Se não há necessidade de acesso externo, restrinja o acesso ao endpoint /accessv2 por IP ou desabilite a API completamente.
  2. Revise os logs de acesso ao endpoint /accessv2 nos últimos 30 dias em busca de requisições JSON anômalas com campos apiuser inesperados.
  3. Se o LoadMaster gerencia tráfego de aplicações sensíveis, considere uma rotação imediata de credenciais armazenadas no appliance — a execução de código como root permite exfiltração de qualquer dado presente no sistema.

Balanceadores de carga na borda da rede são, por design, alvos privilegiados. Qualquer falha de pré-autenticação neles compromete tudo que está atrás.

Leia também

Aplicações de rede na borda são alvos frequentes. Em março, analisamos como a falha no F5 BIG-IP expôs um problema maior — empresas ainda tratam appliances críticos como exceção. Outro caso recente de RCE sem autenticação foi o Splunk Enterprise com duas CVEs críticas sob exploração ativa. E se o foco é IA, o RCE no Langflow mostra como frameworks de IA também viram vetor de ataque.

Referências