Vulnerabilidade crítica no Progress Kemp LoadMaster permite execução remota

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma vulnerabilidade crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, permite que atacantes não autenticados executem comandos arbitrários como root ao enviar uma solicitação manipulada para sua API. Com uma pontuação CVSS de 9.8, essa falha é especialmente perigosa, pois reside em uma função que deveria sanitizar a entrada do usuário, mas falha em limpar um buffer de memória e não adiciona um terminador nulo ao final da string sanitizada. Isso permite que um invasor controle o que está na memória adjacente e injete comandos maliciosos. A vulnerabilidade afeta versões GA v7.2.63.1 e anteriores, e LTSF v7.2.54.17 e anteriores, quando a API está habilitada. A Progress lançou correções em 4 de junho de 2026, e até o momento, não há relatos de exploração ativa. No entanto, a publicação de um conceito de prova por pesquisadores da watchTowr Labs destaca a urgência de aplicar as atualizações. Além disso, a Progress também corrigiu uma segunda falha crítica relacionada ao bypass de WAF. Dada a gravidade da situação, é aconselhável que os administradores atualizem suas versões do LoadMaster imediatamente.

Fonte: https://thehackernews.com/2026/06/progress-kemp-loadmaster-flaw-could-let.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
30/06/2026 • Risco: CRITICO
VULNERABILIDADE

Vulnerabilidade crítica no Progress Kemp LoadMaster permite execução remota

RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-8037 no Progress Kemp LoadMaster permite que atacantes executem comandos como root sem autenticação, representando um risco significativo. A correção já está disponível, e a urgência em aplicar as atualizações é crítica para evitar exploração.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a exploração de vulnerabilidades e interrupção de serviços.
Operacional
Execução de comandos arbitrários como root
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Telecomunicações']

📊 INDICADORES CHAVE

Pontuação CVSS de 9.8 Indicador
Afeta versões GA v7.2.63.1 e anteriores Contexto BR
Afeta versões LTSF v7.2.54.17 e anteriores Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a API do LoadMaster está habilitada e qual versão está em uso.
2 Aplicar o patch disponível imediatamente.
3 Monitorar logs de acesso à API para detectar atividades suspeitas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de execução remota de comandos, que pode comprometer a segurança da infraestrutura.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de exploração.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).