Una vulnerabilidad crítica en Progress Kemp LoadMaster puede permitir que atacantes no autenticados ejecuten comandos como root en los dispositivos afectados cuando la API está habilitada y accesible.
La falla se rastrea como CVE-2026-8037 y afecta a LoadMaster GA 7.2.63.1 y anteriores, junto con LTSF 7.2.54.17 y anteriores. Progress ha lanzado versiones corregidas y los administradores deberían actualizarlas inmediatamente.
El problema más grave se detalla enZDI-26-342, lo que le da a la falla de apiuser una puntuación CVSS de 9,8 porque la explotación no requiere autenticación y puede llevar a la ejecución del código como root.
Por qué CVE-2026-8037 es grave
Kemp LoadMaster se utiliza comúnmente como equilibrador de carga y controlador de entrega de aplicaciones. A menudo se encuentra cerca del borde de la red, donde maneja el tráfico de aplicaciones, la descarga de SSL y TLS, comprobaciones de estado, cambio de contenido y funciones de firewall de aplicaciones web.
Esa ubicación hace que una falla en la ejecución remota de código sea especialmente peligrosa. Si los atacantes pueden llegar al punto final de la API afectado, es posible que no necesiten una contraseña ni un punto de apoyo dentro del entorno de destino.
Elanálisis de los laboratorios watchTowrdice que CVE-2026-8037 es accesible para cualquier persona que pueda acceder a la API y describe el problema como una vulnerabilidad de ejecución remota de código previa a la autenticación.
| Artículo | Detalles |
|---|---|
| CVE | CVE-2026-8037 |
| Producto | Progreso Kemp LoadMaster |
| Aviso más severo | ZDI-26-342 |
| puntuación CVSS | 9.8 |
| Requisito de ataque | Acceso de red a la API afectada |
| Autenticación | No es necesario para el problema de apiuser |
| Impacto | Ejecución remota de comandos como root |
¿Qué versiones de LoadMaster se ven afectadas?
Progress enumera CVE-2026-8037 en el módulo API y UI en suVulnerabilidades de LoadMastermesa. La compañía dice que hay versiones fijas disponibles tanto para la disponibilidad general como para las ramas de funciones de soporte a largo plazo.
Las versiones vulnerables son GA 7.2.63.1 y anteriores, y LTSF 7.2.54.17 y anteriores. Las versiones parcheadas son GA 7.2.63.2 y LTSF 7.2.54.18.
El problema es más importante para los dispositivos con la API habilitada. Las organizaciones deben tratar cualquier punto final de la API LoadMaster expuesto a Internet o de fácil acceso como un objetivo prioritario de parcheo.
| Rama | Versión afectada | Versión fija |
|---|---|---|
| LoadMaster GA | 7.2.63.1 y anteriores | 7.2.63.2 |
| LoadMaster LTSF | 7.2.54.17 y mayores | 7.2.54.18 |
Cómo funciona la vulnerabilidad
El error radica en la forma en que LoadMaster maneja la entrada pasada al punto final accessv2. La ruta vulnerable procesa el valor de apiuser antes de crear un comando de shell.
De acuerdo aZDI-26-342, la falla existe en el manejo del parámetro apiuser proporcionado al punto final accessv2 y se debe a que la memoria no se inicializa correctamente antes del acceso.
En términos prácticos, un atacante puede configurar la solicitud de modo que los datos de la memoria dinámica adyacente pasen a formar parte de la cadena de comando. Eso crea una ruta desde una solicitud API diseñada hasta la ejecución del comando como root.
- El atacante envía una solicitud diseñada al punto final de la API accessv2.
- El valor de apiuser pasa por una rutina de escape de comillas.
- El código vulnerable no logra terminar correctamente la salida escapada.
- El generador de comandos puede continuar leyendo datos del montón controlados por el atacante.
- El comando de shell resultante puede incluir la carga útil inyectada.
El parche muestra la causa raíz
watchTowr Labs comparó las versiones vulnerables y reparadas de LoadMaster y descubrió que el parche cambiaba una función llamada escape_quotes(). Se supone que esa función hace que la entrada del usuario sea segura antes de que se coloque dentro de un argumento de Shell.
La implementación vulnerable utilizó malloc y no pudo agregar un terminador nulo después de la salida escapada. La implementación parcheada utiliza una asignación completa con ceros y escribe el terminador que falta.
Elredacción técnicaexplica que cuatro caracteres de comillas simples pueden expandirse a 16 bytes durante el escape, lo que ayuda a sobrescribir los metadatos del asignador y permite que la carga útil llegue a la ruta de construcción del comando de shell.
Progress ha publicado la solución.
Progress dice que solucionó CVE-2026-8037 en la versión 7.2.63.2. La empresa describe el problema en suActualizaciones de seguridad de LoadMastercomo una vulnerabilidad de ejecución remota de código de inyección de comando en la interfaz de usuario del conjunto de cifrado y el comando API.
La tabla de vulnerabilidad Progress también enumera CVE-2026-8037 corregido en LMOS 7.2.63.2 y LMOS 7.2.54.18. Eso significa que los administradores deben verificar tanto la versión instalada como la rama de actualización activa antes de asumir que el dispositivo es seguro.

La misma versión de junio también aborda CVE-2026-33691, un problema independiente de LoadMaster que afecta al componente de firewall de la aplicación web. Los equipos que ya están programando el mantenimiento deben revisar ambas correcciones juntas.
Por qué los electrodomésticos perimetrales necesitan parches urgentes
Los balanceadores de carga y los controladores de entrega de aplicaciones pueden convertirse en objetivos de alto valor porque se encuentran frente a aplicaciones importantes. Un dispositivo comprometido puede brindar a los atacantes acceso a flujos de tráfico, funciones de administración, credenciales y rutas de red internas.
Este riesgo no es teórico para los productos de vanguardia. Los atacantes suelen atacar VPN, firewalls, balanceadores de carga y otros sistemas perimetrales porque ofrecen una ruta directa a los entornos empresariales.
Cobertura de seguridad desdeLas noticias de los piratas informáticosTambién destacó que la falla puede permitir a los atacantes ejecutar comandos raíz antes de la autenticación si pueden acceder a la API afectada.
| Zona de riesgo | Por qué es importante |
|---|---|
| Ubicación del borde de la red | Los dispositivos LoadMaster a menudo reciben tráfico antes que los sistemas backend. |
| Ejecución a nivel de raíz | La explotación exitosa puede dar a los atacantes un alto control sobre el dispositivo. |
| Exposición API | Las superficies API o de gestión accesibles aumentan la ventana de ataque |
| Manejo de tráfico | Los dispositivos comprometidos pueden exponer credenciales o rutas de aplicaciones confidenciales |
Qué deben hacer los administradores ahora
Los administradores deben actualizar los dispositivos LoadMaster a GA 7.2.63.2 o LTSF 7.2.54.18 lo antes posible. También deben verificar si el acceso a la API está habilitado y restringirlo únicamente a redes de administración confiables.
El7.2.63.2 notas de la versiónConfirme que el problema de inyección de comando RCE se haya solucionado. Las organizaciones sin un acuerdo de mantenimiento activo deben comunicarse con Progress o su revendedor para obtener la actualización adecuada.
Después de aplicar el parche, los equipos deben revisar los registros en busca de solicitudes de API inusuales, actividad administrativa inesperada, nuevos cambios de configuración y conexiones salientes desde el dispositivo.
- Actualice a GA 7.2.63.2 o LTSF 7.2.54.18.
- Deshabilite el acceso a la API si la organización no lo necesita.
- Restrinja el acceso de administración y API a rangos de IP confiables.
- Bloquear el acceso público a Internet a las interfaces administrativas.
- Revise los registros del dispositivo en busca de solicitudes de acceso v2 sospechosas.
- Compruebe si hay cambios inesperados en los certificados, los servicios virtuales y la configuración de WAF.
- Rote las credenciales si se sospecha que están comprometidas.
Cómo priorizar la respuesta
Las organizaciones deben colocar los dispositivos LoadMaster con conexión a Internet en la parte superior de la lista de parches. Los sistemas con acceso API expuestos a amplias redes internas deberían seguir de cerca.
ElVulnerabilidades de progresoLa página confirma que hay una solución disponible, por lo que los equipos no deben tratar la mitigación por sí sola como una respuesta a largo plazo.
Las restricciones de red a corto plazo pueden reducir la exposición mientras se preparan las ventanas de mantenimiento. No deberían reemplazar la actualización del proveedor porque el código vulnerable permanece presente hasta que el dispositivo ejecute una versión reparada.
| Prioridad | Tipo de dispositivo | Acción recomendada |
|---|---|---|
| más alto | LoadMaster orientado a Internet con API habilitada | Parche inmediatamente y restrinja el acceso a la API |
| Alto | LoadMaster interno con amplia accesibilidad API | Parchee rápidamente y limite las redes de administración |
| Medio | LoadMaster con API deshabilitada | Parche durante la próxima ventana de mantenimiento urgente |
| En curso | Todas las implementaciones de LoadMaster | Supervise los registros y mantenga el firmware actualizado |
¿Qué diferencia a esta falla de los errores anteriores de LoadMaster?
Progress LoadMaster se ha enfrentado a varios problemas de inyección de comandos en los últimos años, pero CVE-2026-8037 se destaca porque la ruta de apiuser de mayor gravedad no requiere autenticación.
Algunas entradas ZDI relacionadas para CVE-2026-8037 requieren privilegios y conllevan puntuaciones más bajas. Esa distinción es importante para los defensores, porque la ruta del usuario previo a la autenticación crea una ruta más rápida desde la exposición de la red hasta la ejecución en el nivel raíz.

Reportando desdeLas noticias de los piratas informáticosseñala que Progress le dio crédito a Syed Ibrahim Ahmed de TrendAI Research por descubrir e informar el problema a través de la Iniciativa Día Cero.
El resultado final
CVE-2026-8037 brinda a los atacantes una ruta de alto impacto contra los dispositivos Progress Kemp LoadMaster cuando se puede acceder a la API vulnerable. La combinación de falta de autenticación, acceso a ataques a la red y ejecución de comandos a nivel de raíz lo convierte en un problema que requiere parches inmediatos.
Los equipos de seguridad deben verificar primero la exposición, pero no deben esperar a recibir informes de explotación antes de actuar. La infraestructura perimetral a menudo se convierte en un objetivo poco después de que los detalles técnicos se hagan públicos.
La respuesta más segura es actualizar a la versión fija de LoadMaster, restringir el acceso a la API, revisar los registros y confirmar que no se puede acceder a las interfaces administrativas desde redes que no son de confianza.
Preguntas frecuentes
¿Qué es CVE-2026-8037 en progreso Kemp LoadMaster?
CVE-2026-8037 es una vulnerabilidad de ejecución remota de código que afecta a Progress Kemp LoadMaster. El problema más grave de apiuser puede permitir que atacantes no autenticados ejecuten comandos como root si pueden acceder a la API afectada.
¿Qué versiones de Kemp LoadMaster se ven afectadas por CVE-2026-8037?
CVE-2026-8037 afecta a LoadMaster GA 7.2.63.1 y anteriores, y a LTSF 7.2.54.17 y anteriores. El progreso solucionó el problema en GA 7.2.63.2 y LTSF 7.2.54.18.
¿La explotación de CVE-2026-8037 requiere autenticación?
La falla de usuario de mayor gravedad documentada en ZDI-26-342 no requiere autenticación. Otras entradas ZDI relacionadas vinculadas a CVE-2026-8037 tienen diferentes requisitos de privilegios, por lo que los administradores deben centrarse en el problema del usuario previo a la autenticación al evaluar el riesgo urgente.
¿Qué deben hacer los administradores para solucionar CVE-2026-8037?
Los administradores deben actualizar a LoadMaster GA 7.2.63.2 o LTSF 7.2.54.18, restringir el acceso de administración y API a redes confiables y revisar los registros para detectar actividades sospechosas de API.
¿Deshabilitar la API es suficiente para mitigar CVE-2026-8037?
Deshabilitar o restringir el acceso a la API puede reducir la exposición, pero no debería reemplazar la actualización del proveedor. El código vulnerable permanece presente hasta que el dispositivo ejecute una versión fija de LoadMaster.
