30秒で判断
対応すべき人:
- Progress ADC(旧Kemp)の LoadMaster アプライアンスを運用中の方
- LoadMaster の管理 API がネットワークに公開されている環境
対応不要な人:
- LoadMaster を使用していない
- ベンダー提供のセキュリティパッチを適用済み
- 管理APIへのアクセスが内部ネットワークに限定されており、外部から到達不可能な環境
確認方法: LoadMaster 管理コンソールで現在のファームウェアバージョンを確認し、ベンダーのセキュリティ情報と照合してください。
概要
Progress ADC Products(旧 Kemp)の LoadMaster アプライアンスに OS コマンドインジェクション脆弱性が報告されました(CVE-2026-8037、CVSS 9.6)。
LoadMaster の API における複数のコマンドエンドポイントにおいて、入力値のサニタイズが不十分なため、認証不要のリモート攻撃者が任意のコマンドを LoadMaster アプライアンス上で実行できる状態となっています。
セキュリティリサーチ会社 watchTowr Labs が公開した分析によると、未初期化のヒープデータを悪用した事前認証RCEとして悪用できることが確認されています。エンタープライズ環境のロードバランサーが対象であるため、悪用された場合の影響は広範に及びます。
CVSSベクトル
| 属性 | 値 |
|---|---|
| Attack Vector | Network(ネットワーク) |
| Attack Complexity | Low |
| Privileges Required | None(認証不要) |
| User Interaction | None |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
影響を受けるソフトウェア
| 製品 | 影響バージョン |
|---|---|
| Progress ADC / Kemp LoadMaster | ベンダーセキュリティ情報を参照 |
修正バージョンと回避策
Progress(Kemp)から修正バージョンが提供されています。LoadMaster セキュリティ情報ページを参照し、最新のファームウェアへ更新してください。
暫定回避策:
- LoadMaster の管理 API へのアクセスを内部ネットワークのみに制限する
- ファイアウォールで管理ポートへの外部アクセスをブロックする
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
