Giriş
Progress Kemp LoadMaster’da tespit edilen kritik bir güvenlik açığı, yetkisiz bir saldırganın API aracılığıyla kök yetkileriyle komutlar çalıştırmasına olanak tanımaktadır. Bu durum, işletmeler için siber güvenlik açısından büyük bir tehdit oluşturmakta ve derhal güncellenmesi gereken bir aciliyet taşımaktadır.
Açığın Etkisi
Güvenlik açığı, CVE-2026-8037 olarak izlenmektedir ve CVSS puanı 9.8 olarak belirlenmiştir. Problemi çözmek için bir yamanın mevcut olduğu bildirilmektedir. API etkinse, LoadMaster kullanıyorsanız, hemen güncelleyin.
Progress, 4 Haziran’da güvenlik bülteni yayımladı ve henüz bir istismar raporu almadığını belirtti. Ayrıca, watchTowr Labs 29 Haziran’da açığın exploit zincirini detaylandıran bir teknik yazı yayınladı.
Açığın Çalışma Şekli
LoadMaster, sunucular arasında trafiği yönetmek için kullanılan bir uygulama teslim kontrol cihazı ve yük dengeleyicidir. Ağın kenarında yer aldığı için, burada meydana gelen herhangi bir ön kimlik doğrulama açığı son derece tehlikelidir.
Açık, kullanıcı girişini temizlemeyi amaçlayan escape_quotes() adlı bir işlevde bulunmaktadır. Bu işlev, tek tırnakları kaçırarak saldırganın bir dizeyi kırmasını ve komut enjekte etmesini engellemeyi hedefler. Ancak, işlev, bellekte bir tamponu her önce temizlemeden ayırmakta ve temizlenmiş dize sonunda bir null terminatör yazmamaktadır.
Bu eksik terminatör, açığın temelini oluşturur. Sistemin, temizlenmiş girişin sonunu geçerek bellekten rastgele veriler okuyabilmesi için saldırgan, aynı API isteğine ekstra JSON anahtarları ekleyerek, her biri bir komut enjekte yükü taşıyan bir payload gönderebilir. Sistem, temizlenmiş girişi okumaya devam eder, saldırganın yüküne ulaşır ve onu çalıştırır.
Saldırı, /accessv2 uç noktasını hedef alır ve burası API kimlik doğrulama işlemlerini yönetmektedir. Saldırgan, özel olarak hazırlanmış bir apiuser değeri ve çalıştırmak istediği komutu içeren birçok anahtar-değer çifti içeren bir JSON gövdesi gönderir. Geçerli kimlik bilgileri gerekmez. Komut, kök olarak çalıştırılır.
Etkilenen Versiyonlar ve Çözüm
Açık, API etkin olduğunda LoadMaster GA v7.2.63.1 ve daha eski sürümleri ile LTSF v7.2.54.17 ve daha eski sürümlerini etkilemektedir. Progress, düzeltici sürümler yayımlamıştır: GA v7.2.63.2 ve LTSF v7.2.54.18.
PATCH işlemi oldukça basittir. İki değişiklik bulunmaktadır: bellek ayırma işlevi, tamponu baştan beri sıfırlayan bir sürüm ile değiştirilmiş ve kaçırılan çıktıdan sonra açık bir null terminatör eklenmiştir. Bu iki satır kod, kök erişimi için bir yolu kapatmaktadır.
Açık, TrendAI Araştırma’dan Syed Ibrahim Ahmed tarafından 15 Nisan 2026’da keşfedilmiş ve Zero Day Initiative aracılığıyla Progress’e bildirilmiştir. ZDI, kamuya açık bilgilendirme yayımlanması için 9 Haziran tarihi ile koordinasyon sağlamıştır. watchTowr Labs ise yamanın farkını bağımsız olarak analiz etmiş ve 29 Haziran’da kendi teknik analizini yayımlamıştır.
Progress, aynı bilgilendirmede başka bir yüksek öncelikli açığı da düzeltmiştir: CVE-2026-33691, dosya yükleme uzantı kontrollerini atlayabilen dosya adlarında boşluk dolgusu sorununu içermektedir.
Dikkat Edilmesi Gereken Bir Model
Bu, LoadMaster’ın ilk kritik açığı değildir. Kasım 2024’te, CISA, daha önceki bir LoadMaster komut enjeksiyonu açığını (CVE-2024-1212, CVSS 10.0) bilinen istismar edilen açıklar kataloguna eklemiştir. Nisan 2026’da, Progress başka beş yüksek öncelikli LoadMaster açığını düzeltmiştir; bunların dördü komut enjeksiyonu sorunlarıdır. Progress ayrıca, 2023’te Cl0p fidye yazılım grubu tarafından büyük bir istismar kampanyasına yol açan MOVEit’in üreticisidir.
Kanada Siber Güvenlik Merkezi de yöneticilere güncellemeleri uygulamaları konusunda bir uyarı yayımlamıştır.
Henüz CVE-2026-8037 için hiçbir saldırı rapor edilmemiştir. Ancak çalışır bir kanıt konsepti artık kamuya açıktır. Yamanızı uygulayın ve API’nin gerçekten erişilebilir olup olmadığını sorgulayın.
