La falla de Progress Kemp LoadMaster podría permitir a los atacantes ejecutar comandos de raíz antes de la autenticación

Swati Khandelwal30 de junio de 2026Vulnerabilidad/Seguridad API

Una vulnerabilidad crítica en Progress Kemp LoadMaster puede permitir que un atacante no autenticado ejecute comandos arbitrarios como root en el dispositivo enviando una solicitud diseñada a su API.

El defecto, rastreado como CVE-2026-8037lleva una puntuación CVSS de 9,8 según ZDI. Hay un parche disponible. Si ejecuta LoadMaster con la API habilitada, actualice ahora.

Progreso publicó su aviso el 4 de junio y dice que no ha recibido ningún informe de explotación. El 29 de junio, investigadores de watchTowr Labs publicaron un detallado artículo técnico que recorre toda la cadena de explotación.

¿Qué hace el defecto?

LoadMaster es un controlador de entrega de aplicaciones y un equilibrador de carga utilizado por las empresas para gestionar el tráfico entre servidores. Se encuentra en el borde de la red, lo que hace que cualquier falla de autenticación previa sea especialmente peligrosa.

La vulnerabilidad vive en una función llamada citas_de_escape()que se supone que desinfecta la entrada del usuario antes de pasar a un comando de shell. El trabajo de la función es escapar de las comillas simples para que un atacante no pueda salir de una cadena entrecomillada e inyectar comandos. El problema: asignó un búfer de memoria sin borrarlo primero y nunca escribió un terminador nulo al final de la cadena desinfectada.

Ciberseguridad

Ese terminador que falta es toda la hazaña. Sin él, el sistema sigue leyendo más allá del final de la entrada desinfectada en cualquier dato que se encuentre junto a él en la memoria. Un atacante puede controlar lo que hay ahí insertando claves JSON adicionales en la misma solicitud de API, cada una con una carga útil de inyección de comando. El sistema lee la entrada desinfectada, continúa, ataca la carga útil del atacante y la ejecuta.

El ataque tiene como objetivo el /accesov2 punto final, que maneja la validación de credenciales API. El atacante envía un cuerpo JSON con un valor de apiuser especialmente diseñado y docenas de pares clave-valor adicionales rociados con el comando que desea ejecutar. No se necesitan credenciales válidas. El comando se ejecuta como root.

Versiones afectadas y solución

La falla afecta a LoadMaster GA v7.2.63.1 y anteriores, y a LTSF v7.2.54.17 y anteriores, cuando la API está habilitada. Progress ha lanzado versiones corregidas: GA v7.2.63.2 y LTSF v7.2.54.18.

El parche en sí es mínimo. Dos cambios: la función de asignación de memoria se cambió de una que deja el búfer sin inicializar a una que lo llena con ceros, y se agregó un terminador nulo explícito después de la salida de escape. Dos líneas de código que cierran un camino a la raíz.

La vulnerabilidad fue descubierta por Syed Ibrahim Ahmed de TrendAI Research y reportada a Progress a través de Zero Day Initiative el 15 de abril de 2026. ZDI coordinó la publicación del aviso público el 9 de junio. watchTowr Labs analizó de forma independiente la diferencia del parche y publicó su propio desglose técnico completo con una prueba de concepto funcional el 29 de junio.

Progress también corrigió una segunda falla de alta gravedad en el mismo aviso: CVE-2026-33691, una omisión de WAF donde el relleno de espacios en blanco en los nombres de archivos podría eludir las comprobaciones de extensión de carga de archivos.

Ciberseguridad

Un patrón que vale la pena observar

Este no es el primer defecto crítico de LoadMaster. En noviembre de 2024, CISA agregó una falla de inyección de comando LoadMaster anterior (CVE-2024-1212, CVSS 10.0) a su catálogo de vulnerabilidades explotadas conocidas después de una explotación confirmada en la naturaleza.

En abril de 2026, Progress solucionó cinco fallos más de alta gravedad en LoadMaster, cuatro de ellos problemas de inyección de comandos. Progress también es el creador de MOVEit, cuyas vulnerabilidades de 2023 impulsaron una campaña de explotación masiva por parte del grupo de ransomware Cl0p.

El Centro Canadiense de Seguridad Cibernética También ha emitido un aviso instando a los administradores a aplicar las actualizaciones.

Aún no se han reportado ataques a CVE-2026-8037. Una prueba funcional de concepto ahora es pública. Parche y luego pregunte si es necesario que se pueda acceder a la API.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *