Nach einer Warnung von eSentires Threat Response Unit (TRU) laufen derzeit aktive Ausnutzungsversuche gegen CVE-2026-8037 in Progress Kemp LoadMaster. Die kanadische Sicherheitsfirma beschreibt die Schwachstelle als kritische Betriebssystem-Befehlsinjektion mit einem CVSS-Wert von 9,6, die eine Ausführung beliebigen Codes auf verwundbaren Geräten ermöglichen kann.
Progress selbst hatte in einem Advisory Anfang des vergangenen Monats erklärt, dass die API von Progress LoadMaster eine Schwachstelle zur Remotecodeausführung durch Betriebssystem-Befehlsinjektion enthält. Nach Darstellung des Herstellers kann ein nicht authentifizierter Angreifer durch Ausnutzung unzureichend bereinigter Eingaben beliebige Befehle auf der LoadMaster-Appliance ausführen. Zugangsdaten sind dafür nicht erforderlich.
watchTowr Labs hat die Schwachstelle in einer in dieser Woche veröffentlichten Analyse technisch genauer untersucht. Demnach liegt die Ursache in einer Funktion namens „escape_quotes()“ innerhalb der Load-Balancer-Anwendung. Das Problem beruht laut watchTowr Labs auf einer fehlerhaften Verarbeitung von nutzerkontrollierten Eingaben.
Konkret habe die Funktion bereinigte Zeichenketten nicht korrekt mit einem Nullzeichen abgeschlossen. Dadurch komme es zu einem Lesezugriff außerhalb des vorgesehenen Speicherbereichs in benachbarten Heap-Speicher. Ein Angreifer könne diese Schwäche ausnutzen, indem er speziell präparierte Anfragen an den Endpunkt „/accessv2“ sendet und so den Heap-Speicher manipuliert, um eine Befehlsinjektion zu ermöglichen.
Die Folgen einer erfolgreichen Ausnutzung stuft der Quelltext als gravierend ein: Ein nicht authentifizierter Angreifer könnte beliebige Befehle auf der betroffenen Appliance ausführen, ohne über gültige Anmeldedaten zu verfügen. eSentire zufolge begannen die beobachteten Angriffsaktivitäten am 29. Juni 2026.
Nach Angaben von eSentire scheiterten die beobachteten Ausnutzungsversuche allerdings, sodass es zu keinen Aktivitäten nach einer möglichen Kompromittierung kam. Das Unternehmen weist zugleich darauf hin, dass die Verfügbarkeit eines Proof-of-Concept-Exploits sowie ausführlicher technischer Details die bösartige Aktivität gegen CVE-2026-8037 kurzfristig ankurbeln dürfte.
CVE-2026-8037 ist laut dem Quelltext bereits die zweite Schwachstelle in Progress Kemp LoadMaster, für die aktive Ausnutzungsversuche bekannt wurden. Zuvor war bereits CVE-2024-1212 mit einem CVSS-Wert von 10,0 betroffen, ebenfalls eine kritische Betriebssystem-Befehlsinjektionslücke, die sich zur Ausführung beliebiger Systembefehle missbrauchen lässt.
