Progress Kemp hat zum 4. Juni 2026 einen Sicherheitshinweis zu zwei kritischen Schwachstellen im LoadMaster veröffentlicht. Eine Schwachstelle ist mit einem CVSS 3.1-Score von 9.6 versehen.
Blog-Leser Sebastian hat hier auf das Thema hingewiesen (vielen Dank) und schrieb: "Es gibt neue Updates von Kemp, wodurch zwei Lücken geschlossen werden, eine mit einem Score von 9.6". Progress Kemp schreibt im Sicherheitshinweis LoadMaster Critical Security Bulletin – June 2026 – (CVE-2026-8037, CVE-2026-33691) vom 4. Juni 2026 folgendes:
Das Progress Kemp LoadMaster-Team hat kürzlich eine Sicherheitslücke mit kritischem Schweregrad und eine weitere mit hohem Schweregrad in Progress Kemp LoadMaster bestätigt: GA v7.2.63.1 und älter sowie LTSF v7.2.54.17 und älter (CVE-2026-8037, CVE-2026-33691).
- CVE-2026-8037 (kritisch, CVSS 3.1 Score 9.6): Sicherheitslücke durch Befehlsinjektion und Remote-Codeausführung; Eine Sicherheitslücke durch Befehlsinjektion und Remote-Codeausführung in der API von "In Progress LoadMaster" ermöglicht es einem nicht authentifizierten Angreifer mit entsprechenden Berechtigungen, durch Ausnutzung ungeprüfter Eingaben beliebige Befehle auf dem LoadMaster-Gerät auszuführen.
- CVE-2026-33691 (Hoch; CVSS 3.1 Score 68.): OWASP CRS: Durch Leerzeichenauffüllung in Dateinamen werden Überprüfungen der Dateierweiterung beim Hochladen umgangen. Das OWASP Core Rule Set hat es versäumt, Leerzeichen in Dateinamen zu normalisieren, bevor der reguläre Ausdruck zur Überprüfung der Dateierweiterung angewendet wurde
Kemp schreibt, man habe die Probleme behoben und einen Patch entwickelt und getestet, der nun verfügbar ist. Derzeit liegen keine Berichte vor, dass diese Sicherheitslücke ausgenutzt wurde, und es sind keine direkten betrieblichen Auswirkungen auf Kunden bekannt. Details finden sich im oben verlinkten Bulletin.
MVP: 2013 – 2016
