Progress Kemp LoadMaster CVE-2026-8037: Pre-Auth-RCE jetzt prüfen
Progress Kemp LoadMaster hat eine kritische Pre-Auth-RCE-Lücke. Admins sollten heute prüfen, ob GA 7.2.63.1 oder LTSF 7.2.54.17 und älter im Einsatz sind.

Admins sollten heute prüfen, ob Progress Kemp LoadMaster als Load Balancer oder Application Delivery Controller in der eigenen Umgebung läuft. Neu relevant ist CVE-2026-8037, weil Progress betroffene Versionen nennt, Patches bereitstellt und Sekundäranalysen die Lücke als Pre-Auth-Remote-Code-Execution mit Root-Auswirkung einordnen.
Wahrscheinlich betroffen sind LoadMaster GA v7.2.63.1 und älter sowie LTSF v7.2.54.17 und älter. Nicht betroffen sind Umgebungen ohne Kemp LoadMaster oder Systeme mit bestätigtem Update auf eine gefixte Version. Wenn Management-Oberfläche oder API aus Admin-Netzen, VPNs oder breiteren internen Netzen erreichbar sind, sollte die Prüfung heute beginnen.
Warum diese Meldung wichtig ist
LoadMaster sitzt häufig vor Webportalen, VPN-nahen Diensten, internen Anwendungen oder Kundenportalen. Ein erfolgreicher Angriff auf die Appliance kann deshalb mehrere Backend-Dienste betreffen, Konfigurationen verändern, Zertifikate gefährden oder als Sprungpunkt dienen. Für Admins zählt vor allem, ob das System erreichbar ist und ob die verwundbare Version noch läuft.
Was ist passiert?
Progress hat ein Critical Security Bulletin für CVE-2026-8037 und CVE-2026-33691 veröffentlicht. Das Bulletin nennt GA v7.2.63.1 und älter sowie LTSF v7.2.54.17 und älter als betroffen und verweist auf verfügbare Patches. The Hacker News und WatchTowr beschreiben CVE-2026-8037 als Pre-Auth-RCE über die API und melden öffentlich verfügbare technische Details beziehungsweise PoC-Code.
Gesichert sind betroffene Produktlinien, betroffene Versionsstände und vorhandene Updates durch Progress. Gesichert ist auch, dass die Lücke ohne vorherige Anmeldung relevant sein kann, wenn die betroffene Schnittstelle erreichbar ist. Unsicher bleibt, ob es bereits breitflächige aktive Ausnutzung in produktiven Unternehmensnetzen gibt.
Wer ist betroffen?
Betroffen sind Betreiber von Progress Kemp LoadMaster GA v7.2.63.1 und älter sowie LTSF v7.2.54.17 und älter. Besonders zu prüfen sind virtuelle und physische Appliances, die API- oder Management-Zugriff aus mehr als einem kleinen Admin-Netz erlauben. Nicht betroffen sind andere Load Balancer, nicht eingesetzte Kemp-Produkte und gepatchte LoadMaster-Systeme.
Wie kritisch ist das?
Bewertung: Akut zu priorisieren. Technisch geht es um mögliche Remote Code Execution vor Anmeldung mit Root-Auswirkung auf einer Netzwerk-Appliance. Die kritischsten Systeme sind LoadMaster-Instanzen mit erreichbarer API, Internetnähe, Dienstleisterzugriff oder breiten internen Management-Netzen. Kein direkter Handlungsbedarf besteht nur, wenn kein LoadMaster genutzt wird oder Patchstand und Exposition sauber belegt sind.
Was sollten Admins jetzt tun?
- Erste konkrete Prüfung: Inventar, Hypervisor, Cloud-Umgebung und Netzwerkdokumentation nach Progress Kemp LoadMaster durchsuchen.
- Version prüfen und GA v7.2.63.1 sowie LTSF v7.2.54.17 und älter priorisieren.
- Progress-Bulletin lesen und Update auf gefixte Version in Testumgebung prüfen.
- API- und Management-Zugriff sofort auf Admin-Netze, VPN oder konkrete Quell-IP-Adressen begrenzen.
- Logs auf ungewöhnliche API-Aufrufe, Admin-Logins, Konfigurationsänderungen und neue Zertifikate prüfen.
- Nach dem Patch virtuelle Services, Healthchecks, Zertifikate, Routing und Backend-Erreichbarkeit testen.
Einordnung für kleine Unternehmen
Kleine Unternehmen nutzen Load Balancer oft lange unverändert, weil sie nach der Einrichtung unauffällig laufen. Genau das ist riskant: Eine zentrale Appliance vor mehreren Diensten ist kein Randgerät. Wenn kein interner LoadMaster-Owner benannt ist, sollte zuerst geklärt werden, wer die Appliance administriert und ob Dienstleisterzugänge existieren.
Passende Anleitungen auf S EDV
- netcup SCP-Firewall einrichten: Hilft beim Einschränken von Management- und API-Zugriffen auf Appliances.
- Checkmk auf dem Synology NAS installieren: Ergänzt Monitoring und Alarmierung für kritische Netzwerk- und OT-Systeme.
- Immutable Backups gegen Ransomware: Hilft bei Wiederherstellung, falls zentrale Infrastruktur kompromittiert wird.
Quellen
- Progress LoadMaster Critical Security Bulletin: Belegt betroffene Versionen und Patchverfügbarkeit.
- The Hacker News zu CVE-2026-8037: Belegt öffentliche Einordnung als Pre-Auth-Root-RCE und PoC-Kontext.
- WatchTowr Analyse: Ergänzt technische Details zur Angriffskette.