返回
快讯

Progress Kemp LoadMaster 高危漏洞可让攻击者免认证执行 root 命令

Progress Kemp LoadMaster 被披露一个高危漏洞,攻击者可在未认证情况下通过构造 API 请求以 root 身份执行任意命令。该问题已修补,受影响用户应尽快更新并检查 API 是否必须对外开放。

CVE-2026-8037CVE-2026-33691CVE-2024-1212

Progress Kemp LoadMaster 中一个严重漏洞,可能让未认证攻击者通过向其 API 发送特制请求,在该 appliance 上以 root 身份执行任意命令。

这个漏洞被追踪为 CVE-2026-8037,根据 ZDI 的说法,其 CVSS 分数为 9.8。补丁已经可用。如果你在启用 API 的情况下运行 LoadMaster,请立即更新。

Progress 在 6 月 4 日发布了其 advisory,并表示尚未收到任何被利用的报告。6 月 29 日,watchTowr Labs 的研究人员发布了一篇详细的技术文章,逐步展示了完整的利用链。

What the Flaw Does

LoadMaster 是一款 application delivery controller 和 load balancer,企业用它来管理跨服务器的流量。它位于网络边缘,这使得其中任何 pre-auth 漏洞都尤其危险。

该漏洞存在于一个名为 escape_quotes() 的函数中,它本应在数据传入 shell command 之前清理用户输入。这个函数的工作是转义单引号,这样攻击者就无法跳出带引号的字符串并注入命令。问题在于:它分配了一个 memory buffer,却没有先清空它,也从未在已清理字符串的末尾写入 null terminator。

这个缺失的 terminator 就是整个 exploit 的关键。没有它,系统会继续读取已清理输入末尾之后的内容,直到碰到内存中紧挨着它的其他数据。攻击者可以通过在同一个 API request 里塞入额外的 JSON keys 来控制那里放的内容,每个 key 都携带一个 command injection payload。系统读取已清理输入后继续往下走,碰到攻击者的 payload,然后执行它。

攻击目标是 /accessv2 endpoint,它负责 API credential validation。攻击者发送一个 JSON body,其中包含特制的 apiuser value,以及几十个额外的 key-value pairs,这些字段里都被喷洒了攻击者想运行的命令。不需要有效凭据。该命令会以 root 身份运行。

Affected Versions and Fix

当 API 启用时,这个漏洞影响 LoadMaster GA v7.2.63.1 及更早版本,以及 LTSF v7.2.54.17 及更早版本。Progress 已发布修复版本:GA v7.2.63.2 和 LTSF v7.2.54.18。

补丁本身非常小。只有两处更改:memory allocation function 从一种会让 buffer 保持未初始化的函数,换成了会将其 zero-fill 的函数,并且在 escaped output 后面显式加上了一个 null terminator。两行代码,堵住了一条通往 root 的路径。

这个漏洞由 TrendAI Research 的 Syed Ibrahim Ahmed 发现,并于 2026 年 4 月 15 日通过 Zero Day Initiative 报告给 Progress。ZDI 协调了 6 月 9 日公开 advisory 的发布。watchTowr Labs 则独立分析了补丁 diff,并于 6 月 29 日发布了自己的完整技术拆解和一个可工作的 proof of concept。

Progress 还在同一份 advisory 中修补了第二个高危漏洞:CVE-2026-33691,这是一个 WAF bypass,文件名中的 whitespace padding 可能绕过文件上传 extension 检查。

值得关注的模式

这并不是 LoadMaster 第一次出现 critical 漏洞。2024 年 11 月,CISA 在确认该漏洞已在野外被利用后,把之前一个 LoadMaster command injection 漏洞(CVE-2024-1212,CVSS 10.0)加入了其 Known Exploited Vulnerabilities catalog。

2026 年 4 月,Progress 又修补了另外五个高危 LoadMaster 漏洞,其中四个是 command injection 问题。Progress 也是 MOVEit 的厂商,而其 2023 年的漏洞曾被 Cl0p ransomware group 用来发动大规模 exploitation campaign。

Canadian Centre for Cyber Security 也已发布 advisory,敦促管理员应用这些更新。

目前尚未报告针对 CVE-2026-8037 的攻击。可工作的 proof of concept 现在已经公开。先打补丁,然后再问一问 API 是否真的需要对外可达。