• 02/07/2026 13:31

Detectan intentos de explotación de una vulnerabilidad crítica en Progress Kemp LoadMaster

Tiempo estimado de lectura: 2 minutos, 2 segundos

La vulnerabilidad CVE-2026-8037 en Progress Kemp LoadMaster abre la puerta a ejecutar comandos como root sin autenticación si la API está habilitada. Ya se han visto intentos de explotación desde finales de junio y existe PoC público, así que los equipos expuestos en perímetro deben priorizar el parcheo y el cierre de la superficie de ataque.

Entry image

Los equipos que usan Progress Kemp LoadMaster como balanceador o ADC en el perímetro afrontan estos días una amenaza inmediata: una vulnerabilidad crítica permite ejecutar comandos de forma remota sin autenticación cuando la API del dispositivo está activada. Los primeros intentos de explotación se observaron el 29 de junio de 2026 y, aunque no hay confirmación de compromisos culminados, la combinación de severidad, exposición y herramientas públicas eleva el riesgo.

El fallo, registrado como CVE-2026-8037, encaja en el patrón más temido para infraestructuras de entrada: pre-auth RCE por command injection. En la práctica, un atacante puede forzar la ejecución de comandos con privilegios de root en el appliance, algo especialmente delicado en un componente que suele situarse delante de aplicaciones internas, portales corporativos o servicios publicados a Internet.

La explotación pasa por peticiones manipuladas contra el endpoint /accessv2, con un cuerpo JSON construido para desencadenar la inyección. En el trasfondo técnico aparece un manejo incorrecto de cadenas saneadas que no terminan en null, un detalle que puede derivar en lecturas fuera de límites y que, en determinadas condiciones, acaba llevando parte de la carga controlada por el atacante a una shell. No es un matiz menor: convierte una entrada ‘validada’ en una vía de ejecución.

La vulnerabilidad afecta a LoadMaster GA v7.2.63.1 y anteriores, y a LoadMaster LTSF v7.2.54.17 y anteriores, siempre que la API esté habilitada. Las versiones corregidas ya existen, GA v7.2.63.2 y LTSF v7.2.54.18, y conviene tratarlas como actualización prioritaria. La puntuación de severidad se ha movido entre 9.6 y 9.8 en distintas comunicaciones, pero el mensaje operativo es el mismo: es crítica.

Los intentos detectados se asociaron a tráfico desde 192.42.116.58, 192.42.116.105 y 146.70.139.154. Bloquear y vigilar esas direcciones ayuda, aunque no resuelve el problema de fondo: cualquiera puede replicar el patrón con un PoC público y el escaneo masivo suele llegar rápido cuando hay dispositivos expuestos.

Además, el aviso de seguridad que trata CVE-2026-8037 también aborda CVE-2026-33691, una elusión de WAF que permite saltarse comprobaciones de extensión en subidas de ficheros mediante espacios en blanco en nombres de archivo. Quien use funciones de firewall de aplicaciones y subida de archivos debe aplicar también esas correcciones para no dejar una vía alternativa abierta.

En el corto plazo, la recomendación práctica pasa por confirmar si la API está activa y, si no resulta imprescindible, deshabilitarla o restringirla a redes de administración. Si debe seguir operativa, conviene limitar el acceso a los endpoints con ACL, reglas en firewall y segmentación, además de revisar logs en busca de actividad anómala dirigida a /accessv2 y de cuerpos JSON con múltiples claves y patrones compatibles con inyección de comandos. Este incidente vuelve a subrayar una idea incómoda: los balanceadores y ADC, por su posición, necesitan un inventario propio y un ciclo de parches igual de estricto que el de cualquier servidor crítico.

Más información

La entrada Detectan intentos de explotación de una vulnerabilidad crítica en Progress Kemp LoadMaster se publicó primero en Una Al Día.


Artículo de Hispasec publicado en https://unaaldia.hispasec.com/detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster/?utm_source=rss&utm_medium=rss&utm_campaign=detectan-intentos-de-explotacion-de-una-vulnerabilidad-critica-en-progress-kemp-loadmaster