{"id":324008,"date":"2026-04-22T10:21:05","date_gmt":"2026-04-22T08:21:05","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324008"},"modified":"2026-04-22T10:21:33","modified_gmt":"2026-04-22T08:21:33","slug":"progress-kemp-loadmaster-sicherheitsupdates-veroeffentlicht-20-april-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/22\/progress-kemp-loadmaster-sicherheitsupdates-veroeffentlicht-20-april-2026\/","title":{"rendered":"Progress\u202fKemp LoadMaster: Sicherheitsupdates ver\u00f6ffentlicht (20. April 2026)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft\" src=\"https:\/\/i.postimg.cc\/13dsRtfX\/image.png\" alt=\"Progress Kemp\" width=\"200\" height=\"67\" data-cmp-info=\"10\" \/>Progress Kemp hat ein Sicherheitsupdate zum 20. April 2026 ver\u00f6ffentlicht, das kritische Schwachstellen im LoadMaster schlie\u00dft. Sofern noch nicht bekannt, hier noch einige Informationen, die nun \u00f6ffentlich sind.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/b219cc0a74654fca8b9953e2ec7fe09c\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Sebastian hat in diesem Kommentar (danke daf\u00fcr) auf den Eintrag\u00a0<a href=\"https:\/\/community.progress.com\/s\/article\/LoadMaster-Security-Vulnerabilites-CVE-2026-3517-CVE-2026-3518-CVE-2026-3519-CVE-2026-4048-CVE-2026-21876\" target=\"_blank\" rel=\"noopener\">LoadMaster Security Vulnerabilites: CVE-2026-3517 \/ CVE-2026-3518 \/ CVE-2026-3519 \/ CVE-2026-4048 \/ CVE-2026-21876<\/a> in der Progress-Community hingewiesen. Laut Post hat das Team von Progress Kemp k\u00fcrzlich eine Reihe schwerwiegender Sicherheitsl\u00fccken in Progress Kemp LoadMaster best\u00e4tigt. Es betrifft die Versionen<\/p>\n<ul>\n<li class=\"Paragraph SCXW109673224 BCX0\"><span class=\"TextRun SCXW109673224 BCX0\"><span class=\"NormalTextRun SCXW109673224 BCX0\">Progress Kemp LoadMaster: GA v7.2.62.2 und \u00e4lter <\/span><\/span><\/li>\n<li class=\"Paragraph SCXW109673224 BCX0\"><span class=\"TextRun SCXW109673224 BCX0\"><span class=\"NormalTextRun SCXW109673224 BCX0\">Progress Kemp LoadMaster: LTSF v7.2.54.16 und \u00e4lter <\/span><\/span><\/li>\n<\/ul>\n<p>in denen die Schwachstellen CVE-2026-3517, CVE-2026-3518, CVE-2026-3519, CVE-2026-4048, CVE-2026-21876 vorhanden sind.<\/p>\n<ul>\n<li>CVE-2026-3517: Eine Command Injection Remote Code Execution-Schwachstelle in der API in Progress LoadMaster erm\u00f6glicht es einem authentifizierten Angreifer, durch Ausnutzung ungepr\u00fcfter Eingaben beliebige Befehle auf dem LoadMaster-Ger\u00e4t auszuf\u00fchren.<\/li>\n<li>CVE-2026-3518: Eine Command Injection Remote Code Execution-Schwachstelle in der API in Progress LoadMaster erm\u00f6glicht es einem authentifizierten Angreifer, durch Ausnutzung ungepr\u00fcfter Eingaben beliebige Befehle auf dem LoadMaster-Ger\u00e4t auszuf\u00fchren.<\/li>\n<li>CVE-2026-3519: Eine Authenticated API OS Command Injection-Schwachstelle erm\u00f6glicht es einem authentifizierten Angreifer, beliebige Befehle auf der LoadMaster-Appliance auszuf\u00fchren, indem er nicht bereinigte Eingaben ausnutzt.<\/li>\n<li>CVE-2026-4048: Durch eine Command Injection Remote Code Execution-Schwachstelle via Custom WAF Rule\u00a0in der Benutzeroberfl\u00e4che von \u201eIn Progress\" erm\u00f6glicht LoadMaster einem authentifizierten Angreifer die Ausf\u00fchrung beliebiger Befehle auf dem LoadMaster-Ger\u00e4t, indem er w\u00e4hrend des Datei-Upload-Vorgangs ungefilterte Eingaben in einer benutzerdefinierten WAF-Regeldatei ausnutzt.<\/li>\n<li>CVE-2026-21876. Eine Multipart WAF Bypass Using Multiple Content-Type Parts-Schwachstelle. Der auf LoadMaster verwendete OWASP CRS WAF-Regelsatz markiert die Verwendung nicht standardm\u00e4\u00dfiger Zeichens\u00e4tze in HTTP-Multipart-Anfrage-Headern. Dies geschieht, um Versuchen zur Umgehung der WAF entgegenzuwirken. Ein Fehler in der Regel-Logik, die alle in einer Anfrage vorhandenen Multipart-Content-Type-Header durchl\u00e4uft, f\u00fchrt dazu, dass die Zeichensatzvalidierung nur f\u00fcr den zuletzt beobachteten Multipart-Content-Type-Header durchgef\u00fchrt wird. Diese Schwachstelle erm\u00f6glicht es, dass eine speziell gestaltete Multipart-Anfrage eine verschl\u00fcsselte b\u00f6sartige Nutzlast enth\u00e4lt, die die WAF-Erkennung umgeht.<\/li>\n<\/ul>\n<p>Progress Kemp hat die Probleme behoben und einen Patch entwickelt, der am 20. April 2026 an die Kunden verteilt wird. Die Download-Links finden sich <a href=\"https:\/\/community.progress.com\/s\/article\/LoadMaster-Security-Vulnerabilites-CVE-2026-3517-CVE-2026-3518-CVE-2026-3519-CVE-2026-4048-CVE-2026-21876\" target=\"_blank\" rel=\"noopener\">im Supportbeitrag<\/a>. Derzeit liegen keine Berichte vor, dass diese Sicherheitsl\u00fccke ausgenutzt wurde, und es sind keine direkten betrieblichen Auswirkungen auf Kunden bekannt, hei\u00dft es.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Progress Kemp hat ein Sicherheitsupdate zum 20. April 2026 ver\u00f6ffentlicht, das kritische Schwachstellen im LoadMaster schlie\u00dft. Sofern noch nicht bekannt, hier noch einige Informationen, die nun \u00f6ffentlich sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[15581,4328,3836,4315],"class_list":["post-324008","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-kemp","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324008"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324008\/revisions"}],"predecessor-version":[{"id":324010,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324008\/revisions\/324010"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}