Progress Kemp hat ein Sicherheitsupdate zum 20. April 2026 veröffentlicht, das kritische Schwachstellen im LoadMaster schließt. Sofern noch nicht bekannt, hier noch einige Informationen, die nun öffentlich sind.
Blog-Leser Sebastian hat in diesem Kommentar (danke dafür) auf den Eintrag LoadMaster Security Vulnerabilites: CVE-2026-3517 / CVE-2026-3518 / CVE-2026-3519 / CVE-2026-4048 / CVE-2026-21876 in der Progress-Community hingewiesen. Laut Post hat das Team von Progress Kemp kürzlich eine Reihe schwerwiegender Sicherheitslücken in Progress Kemp LoadMaster bestätigt. Es betrifft die Versionen
- Progress Kemp LoadMaster: GA v7.2.62.2 und älter
- Progress Kemp LoadMaster: LTSF v7.2.54.16 und älter
in denen die Schwachstellen CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048, CVE-2026-21876 vorhanden sind.
- CVE-2026-3517: Eine Command Injection Remote Code Execution-Schwachstelle in der API in Progress LoadMaster ermöglicht es einem authentifizierten Angreifer, durch Ausnutzung ungeprüfter Eingaben beliebige Befehle auf dem LoadMaster-Gerät auszuführen.
- CVE-2026-3518: Eine Command Injection Remote Code Execution-Schwachstelle in der API in Progress LoadMaster ermöglicht es einem authentifizierten Angreifer, durch Ausnutzung ungeprüfter Eingaben beliebige Befehle auf dem LoadMaster-Gerät auszuführen.
- CVE-2026-3519: Eine Authenticated API OS Command Injection-Schwachstelle ermöglicht es einem authentifizierten Angreifer, beliebige Befehle auf der LoadMaster-Appliance auszuführen, indem er nicht bereinigte Eingaben ausnutzt.
- CVE-2026-4048: Durch eine Command Injection Remote Code Execution-Schwachstelle via Custom WAF Rule in der Benutzeroberfläche von „In Progress" ermöglicht LoadMaster einem authentifizierten Angreifer die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät, indem er während des Datei-Upload-Vorgangs ungefilterte Eingaben in einer benutzerdefinierten WAF-Regeldatei ausnutzt.
- CVE-2026-21876. Eine Multipart WAF Bypass Using Multiple Content-Type Parts-Schwachstelle. Der auf LoadMaster verwendete OWASP CRS WAF-Regelsatz markiert die Verwendung nicht standardmäßiger Zeichensätze in HTTP-Multipart-Anfrage-Headern. Dies geschieht, um Versuchen zur Umgehung der WAF entgegenzuwirken. Ein Fehler in der Regel-Logik, die alle in einer Anfrage vorhandenen Multipart-Content-Type-Header durchläuft, führt dazu, dass die Zeichensatzvalidierung nur für den zuletzt beobachteten Multipart-Content-Type-Header durchgeführt wird. Diese Schwachstelle ermöglicht es, dass eine speziell gestaltete Multipart-Anfrage eine verschlüsselte bösartige Nutzlast enthält, die die WAF-Erkennung umgeht.
Progress Kemp hat die Probleme behoben und einen Patch entwickelt, der am 20. April 2026 an die Kunden verteilt wird. Die Download-Links finden sich im Supportbeitrag. Derzeit liegen keine Berichte vor, dass diese Sicherheitslücke ausgenutzt wurde, und es sind keine direkten betrieblichen Auswirkungen auf Kunden bekannt, heißt es.
MVP: 2013 – 2016
Wie praktisch es wäre, wenn der (die) Hersteller doch direkt den CVSS Score mit angeben würden. Auch wenn hier die Beschreibungen bereits aufs obere Ende hindeuten.
CVE-2026-21876: 9.3 Critical
CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048: 8.4 High