Progress Kemp LoadMaster 中存在一个严重漏洞,当 API 启用且可访问时,未经身份验证的攻击者可以在受影响的设备上以 root 身份运行命令。
该缺陷被追踪为 CVE-2026-8037,影响 LoadMaster GA 7.2.63.1 及更早版本,以及 LTSF 7.2.54.17 及更早版本。进度已发布修复版本,管理员应立即升级。
最严重的问题详述于ZDI-26-342,这使得 apiuser 缺陷的 CVSS 评分为 9.8,因为利用该漏洞不需要身份验证,并且可能导致以 root 身份执行代码。
为什么 CVE-2026-8037 很严重
Kemp LoadMaster 通常用作负载均衡器和应用程序交付控制器。它通常靠近网络边缘,处理应用程序流量、SSL 和 TLS 卸载、运行状况检查、内容交换和 Web 应用程序防火墙功能。
这种位置使得远程代码执行缺陷特别危险。如果攻击者可以到达受影响的 API 端点,他们可能不需要密码或目标环境中的立足点。
这watchTowr 实验室分析表示任何可以访问 API 的人都可以访问 CVE-2026-8037,并将该问题描述为预身份验证远程代码执行漏洞。
| 物品 | 细节 |
|---|---|
| CVE | CVE-2026-8037 |
| 产品 | 进度 Kemp LoadMaster |
| 最严厉劝告 | ZDI-26-342 |
| CVSS评分 | 9.8 |
| 攻击要求 | 对受影响 API 的网络访问 |
| 验证 | apiuser 问题不需要 |
| 影响 | 以 root 身份执行远程命令 |
Progress 在其 API 和 UI 模块下列出了 CVE-2026-8037LoadMaster漏洞桌子。该公司表示,固定版本可用于一般可用性和长期支持功能分支。
易受攻击的版本为 GA 7.2.63.1 及更早版本,以及 LTSF 7.2.54.17 及更早版本。修补版本为 GA 7.2.63.2 和 LTSF 7.2.54.18。
对于启用了 API 的设备来说,这个问题最为重要。组织应将任何暴露于互联网或可广泛访问的 LoadMaster API 端点视为优先修补目标。
| 分支 | 受影响版本 | 固定版本 |
|---|---|---|
| 负载大师GA | 7.2.63.1 及更早版本 | 7.2.63.2 |
| 负载大师 LTSF | 7.2.54.17 及更早版本 | 7.2.54.18 |
该漏洞如何发挥作用
该错误存在于 LoadMaster 处理传递到 accessv2 端点的输入的方式中。易受攻击的路径在构建 shell 命令之前处理 apiuser 值。
根据ZDI-26-342,该缺陷存在于对提供给 accessv2 端点的 apiuser 参数的处理中,并且是由于访问前内存未正确初始化而导致的。
实际上,攻击者可以调整请求,使相邻堆内存中的数据成为命令字符串的一部分。这会创建一条从精心设计的 API 请求到以 root 身份执行命令的路径。
- 攻击者向 accessv2 API 端点发送精心设计的请求。
- apiuser 值通过引号转义例程传递。
- 易受攻击的代码无法正确终止转义输出。
- 命令生成器可以继续读取攻击者控制的堆数据。
- 生成的 shell 命令可以包含注入的有效负载。
该补丁显示了根本原因
watchTowr Labs 比较了存在漏洞的 LoadMaster 版本和修复后的 LoadMaster 版本,发现该补丁更改了一个名为 escape_quotes() 的函数。该函数应该在将用户输入放入 shell 参数之前确保其安全。
存在漏洞的实现使用了 malloc,并且未能在转义输出后添加空终止符。修补后的实现使用零填充分配并写入丢失的终止符。
这技术写作解释说,四个单引号字符在转义过程中可以扩展为 16 个字节,这有助于覆盖分配器元数据并让有效负载到达 shell 命令构造路径。
进度已发布修复程序
Progress 表示它在 7.2.63.2 版本中修复了 CVE-2026-8037。该公司在其报告中描述了该问题LoadMaster 安全更新作为密码集 UI 和 API 命令中的命令注入远程代码执行漏洞。
进度漏洞表还列出了 LMOS 7.2.63.2 和 LMOS 7.2.54.18 中已修复的 CVE-2026-8037。这意味着管理员应该在假设设备安全之前验证已安装的版本和活动更新分支。

同一个 6 月版本还解决了 CVE-2026-33691,这是一个影响 Web 应用程序防火墙组件的单独 LoadMaster 问题。已经安排维护的团队应该一起审查这两个修复。
为什么边缘设备需要紧急修补
负载均衡器和应用程序交付控制器可能成为高价值目标,因为它们位于重要应用程序的前面。受损的设备可以让攻击者访问流量、管理功能、凭据和内部网络路径。
对于边缘产品来说,这种风险并不存在于理论上。攻击者经常以 VPN、防火墙、负载平衡器和其他外围系统为目标,因为它们提供了进入企业环境的直接路由。
安全覆盖范围来自黑客新闻还强调,如果攻击者能够访问受影响的 API,则该缺陷可以让攻击者在身份验证之前运行 root 命令。
| 风险区域 | 为什么这很重要 |
|---|---|
| 网络边缘放置 | LoadMaster 设备通常会先于后端系统接收流量 |
| 根级执行 | 成功利用该漏洞可以让攻击者对设备进行高度控制 |
| API暴露 | 可访问的管理或 API 界面增加了攻击窗口 |
| 交通处理 | 受损的设备可能会暴露敏感的应用程序路径或凭据 |
管理员现在应该做什么
管理员应尽快将 LoadMaster 设备升级到 GA 7.2.63.2 或 LTSF 7.2.54.18。他们还应该验证是否启用了 API 访问并将其限制为仅可信任的管理网络。
这7.2.63.2 发行说明确认命令注入 RCE 问题已修复。没有有效维护协议的组织应联系 Progress 或其经销商以获得适当的更新。
修补后,团队应检查日志中是否存在异常 API 请求、意外管理活动、新配置更改以及来自设备的出站连接。
- 升级到 GA 7.2.63.2 或 LTSF 7.2.54.18。
- 如果组织不需要,请禁用 API 访问。
- 将 API 和管理访问限制在受信任的 IP 范围内。
- 阻止公共互联网访问管理界面。
- 查看设备日志中是否有可疑的 accessv2 请求。
- 检查证书、虚拟服务和 WAF 设置是否发生意外更改。
- 如果怀疑存在泄露,请轮换凭证。
如何确定响应的优先级
组织应将面向互联网的 LoadMaster 设备放在补丁列表的顶部。具有暴露于广泛内部网络的 API 访问权限的系统应该密切关注。
这进度漏洞页面确认修复可用,因此团队不应仅将缓解措施视为长期答案。
在准备维护窗口期间,短期网络限制可以减少暴露。他们不应替换供应商更新,因为在设备运行修复版本之前,易受攻击的代码仍然存在。
| 优先事项 | 设备类型 | 建议采取的行动 |
|---|---|---|
| 最高 | 面向互联网的 LoadMaster,启用 API | 立即修补并限制 API 访问 |
| 高的 | 具有广泛 API 可达性的内部 LoadMaster | 快速修补并限制管理网络 |
| 中等的 | 禁用 API 的 LoadMaster | 在下一个紧急维护时段进行补丁 |
| 进行中 | 所有 LoadMaster 部署 | 监控日志并保持固件最新 |
这个缺陷与早期的 LoadMaster 缺陷有何不同
Progress LoadMaster 近年来面临多个命令注入问题,但 CVE-2026-8037 脱颖而出,因为最严重的 apiuser 路径不需要身份验证。
CVE-2026-8037 的一些相关 ZDI 条目需要特权且分数较低。这种区别对于防御者来说很重要,因为预身份验证 apiuser 路径创建了从网络暴露到根级执行的更快路线。

报告来自黑客新闻指出 Progress 称赞 TrendAI Research 的 Syed Ibrahim Ahmed 通过零日计划发现并报告了该问题。
底线
当可访问易受攻击的 API 时,CVE-2026-8037 为攻击者提供了针对 Progress Kemp LoadMaster 设备的高影响路径。无需身份验证、网络攻击访问和根级命令执行的结合使其成为一个需要立即修补的问题。
安全团队应首先验证暴露情况,但不应等待利用报告才采取行动。边缘基础设施往往在技术细节公开后不久就成为目标。
最安全的响应是升级到固定的 LoadMaster 版本、限制 API 访问、查看日志并确认无法从不受信任的网络访问管理界面。
FAQ
什么是正在进行的 Kemp LoadMaster 中的 CVE-2026-8037?
CVE-2026-8037 是一个影响 Progress Kemp LoadMaster 的远程代码执行漏洞。最严重的 apiuser 问题可能会让未经身份验证的攻击者以 root 身份运行命令(如果他们可以访问受影响的 API)。
哪些 Kemp LoadMaster 版本受 CVE-2026-8037 影响?
CVE-2026-8037 影响 LoadMaster GA 7.2.63.1 及更早版本以及 LTSF 7.2.54.17 及更早版本。 GA 7.2.63.2 和 LTSF 7.2.54.18 中解决了该问题的进展。
利用 CVE-2026-8037 是否需要身份验证?
ZDI-26-342 中记录的最严重的 apiuser 缺陷不需要身份验证。与 CVE-2026-8037 相关的其他相关 ZDI 条目具有不同的权限要求,因此管理员在评估紧急风险时应重点关注预身份验证 apiuser 问题。
管理员应该如何修复 CVE-2026-8037?
管理员应升级到 LoadMaster GA 7.2.63.2 或 LTSF 7.2.54.18,限制对受信任网络的 API 和管理访问,并检查日志中是否有可疑的 API 活动。
禁用 API 是否足以缓解 CVE-2026-8037 的影响?
禁用或限制 API 访问可以减少暴露,但不应取代供应商更新。在设备运行固定的 LoadMaster 版本之前,易受攻击的代码将一直存在。
