Een kritieke kwetsbaarheid in Progress Kemp LoadMaster kan een niet-geverifieerde aanvaller willekeurige opdrachten laten uitvoeren als root op het apparaat door een vervaardigd verzoek naar de API te sturen.
De fout, bijgehouden als CVE-2026-8037heeft volgens ZDI een CVSS-score van 9,8. Er is een pleister beschikbaar. Als u LoadMaster uitvoert terwijl de API is ingeschakeld, update dan nu.
Progress publiceerde zijn advies op 4 juni en zegt geen meldingen van uitbuiting te hebben ontvangen. Op 29 juni publiceerden onderzoekers van watchTowr Labs een gedetailleerd technisch artikel dat de volledige exploitatieketen doorloopt.
Wat de fout doet
LoadMaster is een application delivery controller en load balancer die door ondernemingen wordt gebruikt om verkeer tussen servers te beheren. Het bevindt zich aan de rand van het netwerk, wat elke pre-authenticatiefout bijzonder gevaarlijk maakt.
De kwetsbaarheid bevindt zich in een functie genaamd ontsnap_quotes()dat verondersteld wordt de gebruikersinvoer te zuiveren voordat deze wordt doorgegeven aan een shell-opdracht. De taak van de functie is om aan enkele aanhalingstekens te ontsnappen, zodat een aanvaller niet uit een tekenreeks tussen aanhalingstekens kan komen en opdrachten kan injecteren. Het probleem: het heeft een geheugenbuffer toegewezen zonder deze eerst te wissen en heeft nooit een null-terminator aan het einde van de opgeschoonde string geschreven.
Die ontbrekende terminator is de hele exploit. Zonder dit blijft het systeem voorbij het einde van de opgeschoonde invoer lezen in de gegevens die ernaast in het geheugen staan. Een aanvaller kan bepalen wat daar staat door extra JSON-sleutels in hetzelfde API-verzoek te stoppen, die elk een opdrachtinjectie-payload bevatten. Het systeem leest de opgeschoonde invoer, gaat door, raakt de lading van de aanvaller en voert deze uit.
De aanval richt zich op de /toegangv2 eindpunt, dat de validatie van API-referenties afhandelt. De aanvaller stuurt een JSON-body met een speciaal vervaardigde apiuser-waarde en tientallen extra sleutel-waardeparen, voorzien van de opdracht die ze willen uitvoeren. Er zijn geen geldige inloggegevens nodig. De opdracht wordt uitgevoerd als root.
Betrokken versies en oplossing
De fout treft LoadMaster GA v7.2.63.1 en ouder, en LTSF v7.2.54.17 en ouder, wanneer de API is ingeschakeld. Progress heeft vaste versies uitgebracht: GA v7.2.63.2 en LTSF v7.2.54.18.

De patch zelf is minimaal. Twee veranderingen: de geheugentoewijzingsfunctie is verwisseld van een functie die de buffer niet-geïnitialiseerd laat naar een functie die deze met nul vult, en er is een expliciete null-terminator toegevoegd na de ontsnapte uitvoer. Twee regels code die een pad naar de root afsluiten.
De kwetsbaarheid werd ontdekt door Syed Ibrahim Ahmed van TrendAI Research en op 15 april 2026 gerapporteerd aan Progress via het Zero Day Initiative. ZDI coördineerde de openbare adviesuitgave op 9 juni. watchTowr Labs analyseerde onafhankelijk de patch diff en publiceerde op 29 juni hun eigen volledige technische analyse met een werkende proof of concept.
Progress repareerde ook een tweede, zeer ernstige fout in hetzelfde advies: CVE-2026-33691, een WAF-bypass waarbij het opvullen van witruimte in bestandsnamen controles op het uploaden van bestanden kon omzeilen.
Een patroon dat het bekijken waard is
Dit is niet de eerste kritieke fout van LoadMaster. In november 2024 heeft CISA een eerdere LoadMaster-opdrachtinjectiefout (CVE-2024-1212, CVSS 10.0) toegevoegd aan de Known Exploited Vulnerabilities-catalogus na bevestigde exploitatie in het wild.
In april 2026 repareerde Progress nog vijf ernstige LoadMaster-fouten, waarvan vier commando-injectieproblemen. Progress is ook de maker van MOVEit, waarvan de kwetsbaarheden in 2023 een massale exploitatiecampagne door de Cl0p-ransomwaregroep hebben aangewakkerd.
Het Canadian Centre for Cyber Security heeft ook een advies uitgegeven waarin beheerders worden opgeroepen de updates toe te passen.
Er zijn nog geen aanvallen op CVE-2026-8037 gemeld. Een werkend proof of concept is nu openbaar. Patch en vraag vervolgens of de API überhaupt bereikbaar moet zijn.