Faille critique CVE-2026-8037 dans Progress Kemp LoadMaster : exécution root sans authentification
Une vulnérabilité critique a été découverte dans Progress Kemp LoadMaster, un équipement d'équilibrage de charge largement déployé en entreprise. Référencée sous l'identifiant CVE-2026-8037 et notée 9.8 sur l'échelle CVSS, cette faille permet à un attaquant non authentifié d'exécuter des commandes arbitraires avec les privilèges root en envoyant une requête spécialement conçue vers l'API de l'appliance. Aucune interaction utilisateur n'est requise, ce qui classe ce vecteur d'attaque parmi les plus dangereux. Un correctif a été publié par Progress et son application est fortement recommandée, en particulier pour toutes les installations exposant l'API en réseau.
FAILLE CRITIQUE CVE-2026-8037 DANS PROGRESS KEMP LOADMASTER : EXÉCUTION ROOT SANS AUTHENTIFICATION
Une vulnérabilité critique a été découverte dans Progress Kemp LoadMaster, un équipement d'équilibrage de charge largement déployé en entreprise. Référencée sous l'identifiant CVE-2026-8037 et notée 9.8 sur l'échelle CVSS, cette faille permet à un attaquant non authentifié d'exécuter des commandes arbitraires avec les privilèges root en envoyant une requête spécialement conçue vers l'API de l'appliance. Aucune interaction utilisateur n'est requise, ce qui classe ce vecteur d'attaque parmi les plus dangereux. Un correctif a été publié par Progress et son application est fortement recommandée, en particulier pour toutes les installations exposant l'API en réseau.
IMPACTS POUR LES ORGANISATIONS
- ▸Prise de contrôle complète du système sans authentification.
- ▸Vecteur d'attaque exploitable à distance (sans privilèges préalables).
- ▸Exposition critique des infrastructures réseau et des données sensibles.
Une faille de sécurité critique, identifiée sous la référence CVE-2026-8037, affecte Progress Kemp LoadMaster et obtient un score CVSS de 9.8. Elle permet à un attaquant non authentifié d'envoyer une requête malformée à l'API de l'appliance afin d'exécuter des commandes système avec les droits root, sans aucune interaction requise. Progress a publié un correctif qu'il convient d'appliquer sans délai, notamment pour toute instance dont l'API est exposée.
Impacts pour les organisations- Prise de contrôle complète de l'appliance sans authentification
- Exposition critique des infrastructures réseau s'appuyant sur LoadMaster
- Vecteur d'attaque exploitable à distance, sans privilèges préalables
- Nécessité de prioriser le déploiement du correctif Progress en urgence
Source : The Hacker News