🔍 Contexte
Le 29 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-8037, une vulnérabilité de type Remote Code Execution (RCE) pré-authentifiée affectant Progress Kemp LoadMaster, un équilibreur de charge et contrôleur de livraison d’applications (ADC) largement déployé en périphérie des réseaux d’entreprise.
🎯 Produits et versions affectés
La vulnérabilité affecte les versions suivantes lorsque l’API est activée :
- Kemp LoadMaster GA v7.2.63.1 et antérieures
- Kemp LoadMaster LTSF v7.2.54.17 et antérieures
Progress a publié un avis le 4 juin 2026 qualifiant la faille de « Command Injection Remote Code Execution Vulnerability ».
🧠 Analyse technique
La vulnérabilité réside dans la fonction escape_quotes() de l’exécutable access, invoquée lors du traitement des requêtes sur l’endpoint /accessv2.
Deux défauts dans la version vulnérable :
- Allocation d’un buffer heap avec
malloc()(non initialisé) - Absence de null-terminateur à la fin du buffer échappé
La fonction escape_quotes() est censée sécuriser les entrées utilisateur avant leur insertion dans une commande shell via system(). Si l’entrée ne contient pas de guillemet simple, le pointeur original est retourné sans modification. Si elle en contient, un nouveau buffer est alloué avec malloc() et chaque ' est expansé en ''' (4 octets).
Mécanisme d’exploitation :
- L’attaquant envoie
''''comme valeurapiuser→ les 4 guillemets s’expansent en 16 octets, écrasant les métadonnées du chunk tcache adjacent (pointeursnextetkey) - Un payload d’injection de commande est sprayed dans des chunks heap adjacents via de nombreuses paires clé/valeur JSON supplémentaires
- Comme le buffer échappé n’est pas null-terminé,
__sprintf_chk()continue de lire au-delà du buffer et intègre le payload injecté dans la commande exécutée parsystem()
Patch appliqué dans v7.2.63.2 :
malloc()remplacé parcalloc()(buffer initialisé à zéro)- Ajout d’un null-terminateur explicite après les données échappées
💥 Impact
Exploitation sans authentification via l’API REST de LoadMaster. L’attaquant peut exécuter des commandes arbitraires sur l’appliance (démonstration avec cat /etc/passwd).
📄 Type d’article
Analyse technique publiée par watchTowr Labs, visant à documenter la chaîne d’exploitation complète d’une vulnérabilité divulguée publiquement, en comparant les versions vulnérable et patchée par diff binaire.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1203 — Exploitation for Client Execution (Execution)
IOC
- IPv4 :
192.168.5.30— AbuseIPDB · VT · ThreatFox - CVEs :
CVE-2026-8037— NVD · CIRCL - Chemins :
/accessv2
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ⬜ labs.watchtowr.com — source non référencée (0pts)
- ✅ 18059 chars — texte complet (fulltext extrait) (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://labs.watchtowr.com/enterprise-tech-in-shell-out-progress-kemp-loadmaster-uninitialized-heap-to-pre-auth-rce-cve-2026-8037