つみかさね

CVE-2026-8037

Critical(9.6)

Progress LoadMasterの認証不要RCE CVE-2026-8037:影響範囲と対応方法

公開日: 2026-07-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Progress ADC / Kemp LoadMasterProgress Softwareベンダーセキュリティ情報参照

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1LoadMaster のファームウェアバージョンを管理コンソールで確認
  2. 2Progress のセキュリティ情報ページで対象バージョンを確認
  3. 3最新のファームウェアへアップデート
  4. 4アップデートまでの間、管理APIへのアクセスを内部ネットワークに限定

影響対象

Progress ADC / Kemp LoadMaster利用者

補足

  • -管理APIが外部ネットワークに公開されている場合は特に緊急対応が必要
  • -watchTowr Labs の分析でPoC的な情報が公開されており、悪用リスクが高い状況
CVEProgressLoadMasterKempRCEOSコマンドインジェクション

30秒で判断

対応すべき人:

  • Progress ADC(旧Kemp)の LoadMaster アプライアンスを運用中の方
  • LoadMaster の管理 API がネットワークに公開されている環境

対応不要な人:

  • LoadMaster を使用していない
  • ベンダー提供のセキュリティパッチを適用済み
  • 管理APIへのアクセスが内部ネットワークに限定されており、外部から到達不可能な環境

確認方法: LoadMaster 管理コンソールで現在のファームウェアバージョンを確認し、ベンダーのセキュリティ情報と照合してください。


概要

Progress ADC Products(旧 Kemp)の LoadMaster アプライアンスに OS コマンドインジェクション脆弱性が報告されました(CVE-2026-8037、CVSS 9.6)。

LoadMaster の API における複数のコマンドエンドポイントにおいて、入力値のサニタイズが不十分なため、認証不要のリモート攻撃者が任意のコマンドを LoadMaster アプライアンス上で実行できる状態となっています。

セキュリティリサーチ会社 watchTowr Labs が公開した分析によると、未初期化のヒープデータを悪用した事前認証RCEとして悪用できることが確認されています。エンタープライズ環境のロードバランサーが対象であるため、悪用された場合の影響は広範に及びます。

CVSSベクトル

属性
Attack VectorNetwork(ネットワーク)
Attack ComplexityLow
Privileges RequiredNone(認証不要)
User InteractionNone
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh

影響を受けるソフトウェア

製品影響バージョン
Progress ADC / Kemp LoadMasterベンダーセキュリティ情報を参照

修正バージョンと回避策

Progress(Kemp)から修正バージョンが提供されています。LoadMaster セキュリティ情報ページを参照し、最新のファームウェアへ更新してください。

暫定回避策:

  • LoadMaster の管理 API へのアクセスを内部ネットワークのみに制限する
  • ファイアウォールで管理ポートへの外部アクセスをブロックする

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。