bitminder IT Security

Progress hat eine kritische Sicherheitslücke in LoadMaster veröffentlicht. Die Schwachstelle wird unter der Kennung CVE-2026-8037 geführt und erreicht einen CVSS-Score von 9.6. Betroffen sind mehrere Versionen der LoadMaster-Appliance.

Technische Details

Ursache der Schwachstelle ist eine unzureichende Validierung von Benutzereingaben innerhalb der LoadMaster-API. Ein entfernter Angreifer kann speziell präparierte Anfragen nutzen, um Betriebssystembefehle auf dem betroffenen System auszuführen. Laut Hersteller ist hierfür keine Authentifizierung erforderlich.

Neben CVE-2026-8037 wurde mit CVE-2026-33691 eine weitere Schwachstelle veröffentlicht. Diese betrifft die Verarbeitung bestimmter Dateiuploads innerhalb der WAF-Funktionalität und kann unter bestimmten Umständen Schutzmechanismen umgehen.

Risiko

Da LoadMaster häufig als zentrale Komponente für Load-Balancing und Application Delivery eingesetzt wird, stellt eine erfolgreiche Kompromittierung ein erhebliches Risiko dar. Angreifer könnten die Appliance übernehmen, Konfigurationen manipulieren oder die kompromittierte Instanz als Ausgangspunkt für weitere Angriffe innerhalb des Netzwerks nutzen.

Aktuell liegen keine öffentlichen Informationen über eine aktive Ausnutzung in freier Wildbahn vor. Aufgrund der Kritikalität ist jedoch mit einem erhöhten Interesse durch Bedrohungsakteure zu rechnen.

Handlungsempfehlung

Administratoren sollten zeitnah die von Progress bereitgestellten Sicherheitsupdates einspielen und die Erreichbarkeit von Management- und API-Schnittstellen überprüfen. Darüber hinaus empfiehlt sich die Analyse von Logdaten auf ungewöhnliche API-Anfragen oder verdächtige Systemaktivitäten.

Quellen https://community.progress.com/s/article/LoadMaster-Critical-Security-Bulletin-June-2026-CVE-2026-8037-CVE-2026-33691?popup=true