Cybersecurity

CVE-2026-8037: una RCE crítica sin autenticación afecta a Progress Kemp LoadMaster (parchea ya)

CVE-2026-8037 es un fallo crítico (CVSS 9.8) de ejecución remota de código sin autenticación en Progress Kemp LoadMaster que otorga a los atacantes acceso root mediante una única solicitud a la API. El 29 de junio apareció un exploit público: aquí tienes a quién afecta y cómo parchear.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 1 jul 2026 7 min de lectura
CVE-2026-8037: una RCE crítica sin autenticación afecta a Progress Kemp LoadMaster (parchea ya)

Un fallo crítico en Progress Kemp LoadMaster, identificado como CVE-2026-8037, permite que un atacante no autenticado ejecute comandos como root en el balanceador de carga enviando una única solicitud manipulada a su API. Tiene una puntuación CVSS de 9.8, afecta a todas las compilaciones de LoadMaster hasta el parche de junio y ahora cuenta con un exploit público de prueba de concepto, por lo que la ventana entre "teórico" y "propagándose como un gusano por las redes" se está cerrando rápido. Si ejecutas un LoadMaster con la API habilitada, parchéalo hoy mismo.

Esto es en qué consiste el fallo, qué versiones están expuestas, cómo funciona realmente el exploit y qué hacer antes de que otra persona encuentre tu dispositivo.

¿Qué es CVE-2026-8037?

CVE-2026-8037 es una vulnerabilidad de ejecución remota de código previa a la autenticación en la API de gestión de LoadMaster. Sin credenciales, sin sesión, sin interacción del usuario: un atacante que pueda alcanzar el endpoint de la API del dispositivo puede ejecutar comandos de shell arbitrarios con privilegios de root. Como LoadMaster es un controlador de entrega de aplicaciones (application delivery controller) que suele situarse en el borde de la red, terminando TLS y dirigiendo el tráfico hacia los servidores de backend, una shell de root en él se acerca al peor punto de apoyo posible.

El fallo fue reportado a la Zero Day Initiative de Trend Micro por el investigador Syed Ibrahim Ahmed el 15 de abril de 2026, y ZDI publicó su aviso coordinado el 9 de junio. Progress ya había lanzado una corrección el 4 de junio. La razón por la que es noticia ahora es que el 29 de junio watchTowr Labs publicó un desglose técnico completo con una prueba de concepto funcional, convirtiendo un n-day que muchos administradores habían ignorado en algo que cualquier atacante competente puede reproducir ahora.

¿Qué versiones de LoadMaster están afectadas?

La vulnerabilidad afecta a ambos canales de lanzamiento, pero solo cuando la API de LoadMaster está habilitada. Si parcheaste el 4 de junio o después, estás cubierto; si no has tocado el equipo desde la primavera, es casi seguro que estás expuesto.

CanalVersiones afectadasVersión parcheadaCorrección publicada
GA (General Availability)v7.2.63.1 y anterioresv7.2.63.24 de junio de 2026
LTSF (Long-Term Support Feature)v7.2.54.17 y anterioresv7.2.54.184 de junio de 2026

La única condición atenuante es la API. La API REST de LoadMaster no está activada de forma predeterminada en todos los despliegues, y los dispositivos con la API deshabilitada no son alcanzables a través de este fallo. Esa es la forma más rápida de comprobar tu exposición: si la API está habilitada y expuesta a internet, trata el equipo como comprometido-hasta-que-se-parchee.

Cómo funciona el exploit

El fallo reside en una función auxiliar llamada escape_quotes(), cuya única tarea es hacer que la entrada del usuario sea segura antes de pasarla a un comando de shell. Se supone que debe escapar las comillas simples para que un atacante no pueda salir de una cadena entrecomillada e inyectar sus propios comandos. En cambio, introdujo dos sutiles fallos de memoria que, juntos, anulan esa protección.

Primero, la función asignó su búfer de salida con malloc() en lugar de calloc(), de modo que la memoria volvió sin inicializar, llena de cualesquiera bytes que hubiera antes, incluidos restos de datos del heap. Segundo, tras escribir la cadena escapada, nunca añadió un terminador nulo para marcar dónde termina la cadena. Más adelante, __sprintf_chk() sigue leyendo más allá del final previsto del búfer, adentrándose en la memoria del heap adyacente.

Esa sobrelectura es todo el exploit. El endpoint /accessv2 procesa un cuerpo JSON con los campos apiuser y apipass. Un atacante envía cuatro comillas simples en apiuser, que se expanden en 16 bytes escapados y sobrescriben los metadatos del asignador en fragmentos liberados vecinos, mientras que pares clave-valor JSON adicionales rocían cargas de comandos por el heap. Cuando se lee el búfer sin terminar, se adentra directamente en la carga rociada, y el comando se ejecuta a través de la llamada subyacente a system(), como root. La corrección de Progress es exactamente lo que cabría esperar: cambiar a calloc() para obtener memoria puesta a cero y terminar explícitamente la cadena con un carácter nulo.

¿Se está explotando de forma activa?

A 1 de julio de 2026, no hay explotación confirmada en la naturaleza y CVE-2026-8037 aún no figura en el catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities) de CISA. Pero eso es un frío consuelo. La distancia entre una PoC pública y el escaneo masivo se mide ahora de forma rutinaria en horas o días, no en semanas: los dispositivos de borde son identificados por escáneres de todo internet casi de inmediato tras la publicación de un análisis. Una RCE de root sin autenticación con CVSS 9.8 en un balanceador de carga expuesto a internet, con código de exploit funcional ya circulando, es exactamente el perfil que los afiliados de ransomware y los intermediarios de acceso inicial compiten por convertir en arma. Trata el "aún no explotado" como "aún no te toca".

Qué hacer ahora mismo

La remediación es poco glamurosa y urgente:

  • Parchea de inmediato a GA v7.2.63.2 o LTSF v7.2.54.18 (o posterior). Esta es la única corrección real.
  • Si no puedes parchear en este instante, deshabilita la API de LoadMaster o restríngela a una red de gestión de confianza. El fallo es inalcanzable cuando la API está apagada, y nunca debería estar expuesta a la internet pública en ningún caso.
  • Asume una brecha en cualquier equipo que quedara sin parchear mientras estaba expuesto a internet. Rota las credenciales y las claves TLS que gestionó el dispositivo, y busca procesos, tareas cron o cambios de configuración inesperados: una shell de root significa que un atacante podría haberse afianzado antes de que parchearas.
  • Segmenta tu plano de gestión. Las API de administración en dispositivos de borde deben estar detrás de una VPN o un bastión, no abiertas al mundo. Es la misma lección a la que vuelve una y otra vez nuestro análisis de zero trust frente a VPN: nunca confíes en el borde de la red de forma predeterminada.

Por qué los dispositivos de borde siguen siendo el punto débil

CVE-2026-8037 no es un desliz aislado: es la última entrada de un patrón que ha definido las brechas empresariales durante tres años. Citrix NetScaler, Ivanti Connect Secure, Fortinet FortiOS, F5 BIG-IP: los dispositivos que viven en el perímetro, hablan C a medida y rara vez se reinician son los que los atacantes explotan con más ahínco, porque un solo fallo entrega root sin autenticación en el punto de estrangulamiento exacto por donde fluye todo el tráfico. Los balanceadores de carga y las pasarelas son bases de código antiquísimas con una interfaz web moderna, y los fallos de memoria como este desliz de heap sin inicializar son endémicos de esa fontanería en C.

La conclusión defensiva no es "compra otro dispositivo". Es operativa: inventaría cada dispositivo de borde y su versión de firmware, suscríbete al feed de seguridad del fabricante para enterarte de una corrección el día cero en lugar del día 25, mantén las interfaces de gestión fuera de la internet pública y parchea el equipo de borde a un ritmo más rápido que el resto de tu flota. Las organizaciones que se quemaron con la crisis de la cadena de suministro de npm y con cada oleada de NetScaler anterior tenían la misma causa raíz: existía un parche y nadie lo aplicó a tiempo. LoadMaster te entrega el parche tres semanas antes. Aprovecha la ventaja.

Preguntas frecuentes

¿Se está explotando activamente CVE-2026-8037?

No se había reportado explotación confirmada en la naturaleza a 1 de julio de 2026, y aún no está en el catálogo KEV de CISA. Pero existe una prueba de concepto pública funcional desde el 29 de junio, por lo que los intentos de explotación contra dispositivos expuestos y sin parchear deben considerarse inminentes.

¿Cómo sé si mi LoadMaster es vulnerable?

Comprueba tu versión de LMOS y si la API está habilitada. Las compilaciones GA v7.2.63.1 y anteriores, y las compilaciones LTSF v7.2.54.17 y anteriores, son vulnerables cuando la API está activada. Si la API está deshabilitada, este fallo en concreto no es alcanzable.

¿Qué versión lo corrige?

Progress publicó la corrección el 4 de junio de 2026: actualiza a GA v7.2.63.2 o LTSF v7.2.54.18 (o más reciente). El parche reemplaza la asignación de memoria defectuosa y añade el terminador nulo que faltaba.

¿Qué puede hacer un atacante con ella?

Ejecutar comandos arbitrarios como root en el balanceador de carga sin autenticarse: control total de un dispositivo que normalmente termina TLS y enruta el tráfico interno. Eso lo convierte en una plataforma de lanzamiento para interceptar tráfico, pivotar hacia la red interna y desplegar ransomware.

¿Puedo mitigar sin parchear?

Temporalmente, sí: deshabilita la API de LoadMaster o restríngela a una red de gestión de confianza para que el endpoint vulnerable /accessv2 no sea alcanzable. Es una solución provisional: aplica el parche oficial en cuanto puedas.

Fuentes

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer es desarrollador y creador de automatizaciones con más de 8 años construyendo sistemas en producción que usan más de 100.000 personas. Crea SaaS multiinquilino a medida, automatización con IA (n8n, flujos LLM, bots de WhatsApp) e infraestructura de hosting (WHM/cPanel, CloudLinux), y es el creador de WaSphere, FlowMaticX y la marca de hosting WaseerHost. Más de 100 proyectos entregados para pymes, agencias y startups financiadas.

Relacionado

Más en Cybersecurity

Ver todo

Debate · 0

Sé amable. Los comentarios son públicos.

    Newsletter · Edición del lunes

    El resumen del lunes.

    Un correo cada lunes por la mañana. La semana que viene en IA, startups, hosting y herramientas dev: sin relleno, sin anzuelos patrocinados.

    Gratis. Cancela tu suscripción con un clic.