Una vulnerabilidad crítica identificada como CVE-2026-8037 en Progress Kemp LoadMaster permite ejecutar comandos con privilegios de root sin necesidad de autenticación cuando la API del dispositivo se encuentra habilitada. Desde finales de junio se han registrado intentos de explotación, y la existencia de pruebas de concepto públicas hace que los equipos expuestos en perímetro de red requieran aplicar parches de forma inmediata y reducir la superficie de ataque.
Los dispositivos que utilizan Progress Kemp LoadMaster como balanceador o controlador de entrega de aplicaciones enfrentan actualmente una amenaza inmediata. La vulnerabilidad permite ejecutar comandos de forma remota sin autenticación cuando la API está activa. Los primeros intentos de explotación se detectaron el 29 de junio de 2026 y, aunque no hay confirmación de compromisos exitosos, la combinación de gravedad, exposición y disponibilidad de herramientas públicas incrementa significativamente el riesgo.
El fallo, catalogado como CVE-2026-8037, corresponde a un escenario crítico para infraestructuras de entrada: ejecución remota de código sin autenticación previa por inyección de comandos. Un atacante podría forzar la ejecución de comandos con privilegios de root en el dispositivo, lo cual resulta especialmente delicado en un componente posicionado típicamente delante de aplicaciones internas, portales corporativos o servicios publicados en Internet.
La explotación se realiza mediante solicitudes manipuladas dirigidas al endpoint /accessv2, con un cuerpo JSON diseñado para desencadenar la inyección. El origen técnico se encuentra en un manejo incorrecto de cadenas de texto que no terminan en null, un detalle que puede provocar lecturas fuera de límites y que, en circunstancias específicas, conduce parte de la carga controlada por el atacante hacia una interfaz de comandos. Este aspecto transforma una entrada aparentemente validada en un vector de ejecución.
La vulnerabilidad afecta a LoadMaster GA versión 7.2.63.1 y anteriores, así como a LoadMaster LTSF versión 7.2.54.17 y anteriores, siempre que la API esté activada. Las versiones corregidas ya están disponibles: GA v7.2.63.2 y LTSF v7.2.54.18, y deben considerarse como actualización de máxima prioridad. La puntuación de severidad se ha situado entre 9.6 y 9.8 en diferentes comunicaciones, pero el mensaje operativo es unívoco: se trata de una vulnerabilidad crítica.
Los intentos detectados se asociaron a tráfico procedente de las direcciones 192.42.116.58, 192.42.116.105 y 146.70.139.154. Bloquear y vigilar estas direcciones resulta útil, aunque no resuelve el problema fundamental: cualquiera puede replicar el patrón utilizando la prueba de concepto pública disponible, y el escaneo masivo suele generalizarse rápidamente cuando existen dispositivos expuestos.
Además, el aviso de seguridad referente a CVE-2026-8037 también trata CVE-2026-33691, una vulnerabilidad de elusión de cortafuegos de aplicaciones que permite saltarse las comprobaciones de extensión en subidas de archivos mediante espacios en blanco en los nombres de fichero. Las organizaciones que utilicen funciones de firewall de aplicaciones y subida de archivos deben aplicar igualmente estas correcciones para evitar dejar una vía alternativa abierta.
A corto plazo, la recomendación operativa consiste en verificar si la API está activa y, en caso de que no resulte imprescindible, deshabilitarla o restringirla a redes de administración. Si debe permanecer operativa, conviene limitar el acceso a los endpoints mediante listas de control de acceso, reglas de cortafuegos y segmentación de red, además de revisar registros en busca de actividad anómala dirigida a /accessv2 y de cuerpos JSON con múltiples claves y patrones compatibles con inyección de comandos. Este incidente subraya una conclusión importante: los balanceadores y controladores de entrega de aplicaciones, por su posición estratégica, requieren un inventario específico y un ciclo de actualizaciones tan riguroso como el de cualquier servidor crítico.
Con Información de unaaldia.hispasec.com
