Progress Kemp LoadMaster'daki kritik bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın, API'sine hazırlanmış bir istek göndererek cihazda root olarak rasgele komutlar yürütmesine izin verebilir.
CVE-2026-8037 olarak takip edilen kusur, ZDI'ya göre 9,8 CVSS puanı taşıyor. Bir yama mevcut. LoadMaster'ı API etkinken çalıştırıyorsanız şimdi güncelleyin.
Progress, tavsiye niteliğindeki tavsiyesini 4 Haziran'da yayınladı ve herhangi bir istismar raporu almadığını söyledi. 29 Haziran'da watchTowr Labs'taki araştırmacılar, istismar zincirinin tamamını kapsayan ayrıntılı bir teknik yazı yayınladı.
Kusur Ne Yapar?
LoadMaster, kuruluşlar tarafından sunucular arasındaki trafiği yönetmek için kullanılan bir uygulama dağıtım denetleyicisi ve yük dengeleyicidir. Ağın kenarında yer alır ve bu da, kimlik doğrulama öncesi herhangi bir kusuru özellikle tehlikeli hale getirir.
Güvenlik açığı, kullanıcı girişini bir kabuk komutuna aktarılmadan önce temizlemesi beklenen, kaçış_quotes() adı verilen bir işlevde bulunuyor. İşlevin görevi, bir saldırganın alıntılanan dizeden çıkıp komutları enjekte edememesi için tek tırnaklardan kaçmaktır. Sorun şu ki, önce onu temizlemeden bir bellek arabelleği ayırdı ve arındırılmış dizenin sonuna hiçbir zaman boş bir sonlandırıcı yazmadı.
Bu kayıp sonlandırıcı, tüm istismardır. Bu olmadan sistem, arındırılmış girişin sonunu geçerek bellekte yanında yer alan verileri okumaya devam eder. Bir saldırgan, her biri bir komut yerleştirme yükü taşıyan aynı API isteğine fazladan JSON anahtarları doldurarak orada ne bulunduğunu kontrol edebilir. Sistem, arındırılmış girişi okur, devam eder, saldırganın yüküne saldırır ve onu çalıştırır.
Saldırı, API kimlik bilgileri doğrulamasını yöneten /accessv2 uç noktasını hedef alıyor. Saldırgan, özel hazırlanmış bir apuser değeri ve çalıştırmak istediği komutun püskürtüldüğü düzinelerce ekstra anahtar/değer çifti içeren bir JSON gövdesi gönderir. Geçerli kimlik bilgilerine gerek yoktur. Komut root olarak çalışır.
Etkilenen Sürümler ve Düzeltme
Kusur, API etkinleştirildiğinde LoadMaster GA v7.2.63.1 ve daha eskisini ve LTSF v7.2.54.17 ve daha eskisini etkiliyor. Progress sabit sürümleri yayımladı: GA v7.2.63.2 ve LTSF v7.2.54.18.
Yamanın kendisi minimum düzeydedir. İki değişiklik: Bellek ayırma işlevi, arabelleği başlatılmamış halde bırakan işlevden, onu sıfırla dolduran işleve değiştirildi ve kaçışlı çıktının ardından açık bir boş sonlandırıcı eklendi. Köke giden yolu kapatan iki satır kod.
Güvenlik açığı, TrendAI Research'ten Syed İbrahim Ahmed tarafından keşfedildi ve 15 Nisan 2026'da Progress through the Zero Day Initiative'e bildirildi. ZDI, 9 Haziran'daki kamuya açık tavsiye niteliğindeki yayını koordine etti. watchTowr Labs, yama farkını bağımsız olarak analiz etti ve 29 Haziran'da çalışan bir kavram kanıtıyla birlikte kendi tam teknik dökümünü yayınladı.
Progress ayrıca aynı öneride ikinci, yüksek önem dereceli bir kusuru da yamaladı: CVE-2026-33691, dosya adlarındaki boşluk doldurmanın dosya yükleme uzantısı kontrollerini atlatabileceği bir WAF atlaması.
İzlemeye Değer Bir Desen
Bu LoadMaster'ın ilk kritik kusuru değil. Kasım 2024'te CISA, kullanımda olduğu onaylandıktan sonra Bilinen Açıklardan Yararlanan Güvenlik Açıkları kataloğuna önceki bir LoadMaster komut ekleme kusurunu (CVE-2024-1212, CVSS 10.0) ekledi.
Nisan 2026'da Progress, dördü komut ekleme sorunu olan beş adet yüksek önem dereceli LoadMaster kusurunu daha yamaladı. Progress aynı zamanda 2023'teki güvenlik açıkları Cl0p fidye yazılımı grubunun kitlesel istismar kampanyasını ateşleyen MOVEit'in de yapımcısıdır.
Kanada Siber Güvenlik Merkezi de yöneticileri güncellemeleri uygulamaya çağıran bir danışma belgesi yayınladı.
Henüz CVE-2026-8037'ye yönelik herhangi bir saldırı bildirilmedi. Kavramın çalışan bir kanıtı artık halka açık. Yama yapın ve ardından API'nin erişilebilir olması gerekip gerekmediğini sorun.