<p>A <strong>CVE-2026-8037</strong> (CVSS 9.6-9.8) é uma falha de injeção de comandos do sistema operacional na API do <strong>Progress Kemp LoadMaster</strong>, que permite a um atacante não autenticado executar comandos arbitrários como root no appliance. O problema está na função <code>escape_quotes()</code>, responsável por sanitizar entradas do usuário antes de repassá-las a comandos de shell: ela falha em finalizar corretamente a string sanitizada com um terminador nulo, provocando uma leitura fora dos limites na memória heap adjacente.</p><h2>Cronologia</h2><p>A Progress publicou o aviso original em 4 de junho de 2026, sem relatos de exploração até então. Mas em 29 de junho, pesquisadores da watchTowr Labs divulgaram um write-up técnico detalhado da cadeia completa de exploração, e a atividade maliciosa começou no mesmo dia. A eSentire observou tentativas de exploração que, até o momento, resultaram em falha, sem atividade pós-comprometimento confirmada.</p><h2>Sistemas afetados e mitigação</h2><p>A falha afeta o LoadMaster GA na versão 7.2.63.1 e anteriores, e o LTSF na versão 7.2.54.17 e anteriores, quando a API está habilitada. Administradores devem atualizar imediatamente para as versões corrigidas GA 7.2.63.2 ou LTSF 7.2.54.18, ou desabilitar o acesso à API caso a atualização não seja possível de imediato.</p>

Fonte e transparência

Fonte original: thehackernews.com

Data de publicação original: 01/07/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.