Vulnerabilidade crítica no Progress Kemp LoadMaster permite execução remota
Uma vulnerabilidade crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, permite que atacantes não autenticados executem comandos arbitrários como root ao enviar uma solicitação manipulada para sua API. Com uma pontuação CVSS de 9.8, essa falha é especialmente perigosa, pois reside em uma função que deveria sanitizar a entrada do usuário, mas falha em limpar um buffer de memória e não adiciona um terminador nulo ao final da string sanitizada. Isso permite que um invasor controle o que está na memória adjacente e injete comandos maliciosos. A vulnerabilidade afeta versões GA v7.2.63.1 e anteriores, e LTSF v7.2.54.17 e anteriores, quando a API está habilitada. A Progress lançou correções em 4 de junho de 2026, e até o momento, não há relatos de exploração ativa. No entanto, a publicação de um conceito de prova por pesquisadores da watchTowr Labs destaca a urgência de aplicar as atualizações. Além disso, a Progress também corrigiu uma segunda falha crítica relacionada ao bypass de WAF. Dada a gravidade da situação, é aconselhável que os administradores atualizem suas versões do LoadMaster imediatamente.