С 29 июня 2026 года фиксируются активные попытки эксплуатации критической уязвимости CVE-2026-8037 в продукте Progress Kemp LoadMaster. Об этом сообщила канадская компания eSentire через своё подразделение Threat Response Unit (TRU). Оценка по шкале CVSS составляет 9.6 из 10, что относит уязвимость к категории критических.
Технический анализ проблемы опубликовала компания watchTowr Labs. По их данным, корень проблемы находится в функции escape_quotes()</b], реализованной внутри приложения балансировщика нагрузки. Функция неправильно обрабатывает данные, поступающие от пользователя, и не выполняет корректное нулевое завершение санированных строк. Результат — выход за пределы буфера с чтением соседних областей кучи.
Атака строится через специально сформированные запросы к эндпоинту /accessv2. Через этот вектор злоумышленник манипулирует памятью кучи таким образом, что получает возможность внедрить произвольные команды операционной системы. Никакой авторизации для этого не требуется. Сам Progress описал уязвимость так: «Уязвимость внедрения команд ОС в API Progress LoadMaster позволяет неаутентифицированному злоумышленнику выполнять произвольные команды на устройстве LoadMaster, эксплуатируя необработанные входные данные».
Все зафиксированные попытки эксплуатации на сегодня оказались неудачными — ни одна из атак не привела к успешной компрометации и не повлекла дальнейшей вредоносной активности. Тем не менее eSentire TRU прямо указывает: публично доступный proof-of-concept эксплойт существует, а технические детали уязвимости открыты. Это означает, что число попыток атак будет расти.
В процессе мониторинга были выявлены три конкретных IP-адреса, с которых велась вредоносная активность:
Важен контекст: это уже второй случай активной эксплуатации уязвимостей в Progress Kemp LoadMaster. Ранее под удар попала CVE-2024-1212 с максимальным баллом CVSS 10.0. Та уязвимость также относилась к классу внедрения команд ОС и позволяла выполнять произвольные системные команды. То, что продукт снова оказывается мишенью по схожему классу уязвимостей, говорит об устойчивом интересе атакующих к этой платформе.
Таймлайн событий выглядит так: Progress выпустил собственный advisory по CVE-2026-8037 в начале прошлого месяца, watchTowr Labs опубликовали детальный технический разбор на этой неделе, а первые реальные попытки эксплуатации были зафиксированы 29 июня 2026 года. Промежуток между патчем и атаками оказался коротким.
Организациям, которые используют Progress Kemp LoadMaster, необходимо установить патч без промедления. Предыстория с CVE-2024-1212 показывает, что атакующие не теряют интерес к этому продукту, а наличие публичного PoC по CVE-2026-8037 делает окно уязвимости критически узким.
Технический анализ проблемы опубликовала компания watchTowr Labs. По их данным, корень проблемы находится в функции escape_quotes()</b], реализованной внутри приложения балансировщика нагрузки. Функция неправильно обрабатывает данные, поступающие от пользователя, и не выполняет корректное нулевое завершение санированных строк. Результат — выход за пределы буфера с чтением соседних областей кучи.
Атака строится через специально сформированные запросы к эндпоинту /accessv2. Через этот вектор злоумышленник манипулирует памятью кучи таким образом, что получает возможность внедрить произвольные команды операционной системы. Никакой авторизации для этого не требуется. Сам Progress описал уязвимость так: «Уязвимость внедрения команд ОС в API Progress LoadMaster позволяет неаутентифицированному злоумышленнику выполнять произвольные команды на устройстве LoadMaster, эксплуатируя необработанные входные данные».
Все зафиксированные попытки эксплуатации на сегодня оказались неудачными — ни одна из атак не привела к успешной компрометации и не повлекла дальнейшей вредоносной активности. Тем не менее eSentire TRU прямо указывает: публично доступный proof-of-concept эксплойт существует, а технические детали уязвимости открыты. Это означает, что число попыток атак будет расти.
В процессе мониторинга были выявлены три конкретных IP-адреса, с которых велась вредоносная активность:
- []42.116[.]58
[]192.42.116[.]105
[]146.70.139[.]154
Важен контекст: это уже второй случай активной эксплуатации уязвимостей в Progress Kemp LoadMaster. Ранее под удар попала CVE-2024-1212 с максимальным баллом CVSS 10.0. Та уязвимость также относилась к классу внедрения команд ОС и позволяла выполнять произвольные системные команды. То, что продукт снова оказывается мишенью по схожему классу уязвимостей, говорит об устойчивом интересе атакующих к этой платформе.
Таймлайн событий выглядит так: Progress выпустил собственный advisory по CVE-2026-8037 в начале прошлого месяца, watchTowr Labs опубликовали детальный технический разбор на этой неделе, а первые реальные попытки эксплуатации были зафиксированы 29 июня 2026 года. Промежуток между патчем и атаками оказался коротким.
Организациям, которые используют Progress Kemp LoadMaster, необходимо установить патч без промедления. Предыстория с CVE-2024-1212 показывает, что атакующие не теряют интерес к этому продукту, а наличие публичного PoC по CVE-2026-8037 делает окно уязвимости критически узким.