Cảnh báo lỗ hổng nghiêm trọng trên Progress Kemp LoadMaster: Nguy cơ thực thi lệnh root từ xa

Các chuyên gia bảo mật vừa phát đi cảnh báo về một lỗ hổng nghiêm trọng trên thiết bị Progress Kemp LoadMaster, cho phép kẻ tấn công không cần xác thực có thể thực thi các lệnh tùy ý với quyền root thông qua việc gửi các yêu cầu API được chế tạo đặc biệt.

Chi tiết về lỗ hổng CVE-2026-8037

Lỗ hổng này được định danh là CVE-2026-8037 với điểm số CVSS lên tới 9.8. Vấn đề nằm ở hàm escape_quotes(), vốn có nhiệm vụ xử lý dữ liệu đầu vào của người dùng trước khi chuyển vào lệnh shell. Tuy nhiên, hàm này đã không thực hiện đúng việc cấp phát bộ nhớ và thiếu ký tự kết thúc chuỗi (null terminator), dẫn đến việc hệ thống đọc tràn bộ nhớ và cho phép kẻ tấn công chèn mã độc (command injection).

Kẻ tấn công có thể khai thác thông qua endpoint /accessv2, nơi xử lý xác thực API. Bằng cách gửi một yêu cầu JSON chứa các cặp khóa-giá trị được thiết kế riêng, kẻ tấn công có thể vượt qua cơ chế kiểm tra và thực thi lệnh trực tiếp với quyền cao nhất trên thiết bị.

Các phiên bản bị ảnh hưởng và giải pháp

Lỗ hổng ảnh hưởng đến các phiên bản sau:

• LoadMaster GA v7.2.63.1 và cũ hơn.
• LTSF v7.2.54.17 và cũ hơn.

Progress đã phát hành các bản vá cho các phiên bản này (GA v7.2.63.2 và LTSF v7.2.54.18). Người dùng được khuyến cáo cập nhật ngay lập tức. Ngoài ra, trong cùng bản tin bảo mật, hãng cũng đã khắc phục một lỗ hổng WAF bypass khác là CVE-2026-33691.

Khuyến nghị cho quản trị viên

Mặc dù chưa ghi nhận các vụ tấn công thực tế, nhưng mã khai thác (proof-of-concept) đã được công bố công khai, làm tăng nguy cơ bị lợi dụng. Ngoài việc cập nhật bản vá, các tổ chức nên xem xét lại cấu hình, hạn chế quyền truy cập vào API của thiết bị nếu không thực sự cần thiết để giảm thiểu bề mặt tấn công.

Nguồn tham khảo: The Hacker News