Progress Software の負荷分散アプライアンス Kemp LoadMaster にある事前認証不要の OS コマンドインジェクション脆弱性 CVE-2026-8037 (CVSS 9.8) について、watchTowr Labs が 6月29日、技術詳細と完全な exploit chain を公開しました。パッチは 6月4日にリリース済みですが、未適用のまま境界に露出しているアプライアンスは即座に root 権限を奪われる恐れがあります。
主なポイント
- 脆弱性は access バイナリの
escape_quotes()にあり、malloc()した領域を初期化せず null 終端も書かないため、後続のsprintfが意図した境界を越えて読み出す - 認証不要でクラフトしたリクエストを API に送るだけで OS コマンドを root として実行可能
- 影響対象は Kemp LoadMaster に加え、ECS Connection Manager、Object Scale Connection Manager、MOVEit WAF も対象と CVE 情報に記載
- 初報はセキュリティ研究者 Syed Ibrahim Ahmed 氏 (TrendAI Research) が Progress に報告、ベンダは 6月4日にアドバイザリを公開
- Kemp LoadMaster は企業ネットワークの最外縁に置かれるため、未パッチ環境は即インフラ侵入の踏み台となる
出典: Progress Kemp LoadMaster Flaw Could Let Attackers Run Root Commands Pre-Auth - The Hacker News