أعلنت شركة Progress عن ثغرة أمنية حرجة في نظام Kemp LoadMaster، وهو جهاز متخصص في إدارة حركة المرور بين الخوادم ويُستخدم على نطاق واسع في المؤسسات الكبرى. الثغرة، التي تحمل الرمز CVE-2026-8037، تتيح للمهاجمين غير المصرح لهم تنفيذ أوامر بصلاحيات الجذر (Root) عبر واجهة الـ API، وذلك بمجرد إرسال طلب مُصاغ بعناية إلى النظام. وقد منحتها مبادرة Zero Day Initiative (ZDI) تقييم خطورة بلغ 9.8 على مقياس CVSS، ما يجعلها واحدة من أخطر الثغرات المكتشفة هذا العام.
آلية الاستغلال
تكمن خطورة الثغرة في وظيفة برمجية تُسمى escape_quotes()، والمفترض أن تقوم بتنقية مدخلات المستخدم قبل تمريرها إلى أوامر النظام. إلا أن هذه الوظيفة لم تُنهِ النص المُعالج بعلامة إنهاء (Null Terminator)، ما سمح للنظام بقراءة بيانات إضافية من الذاكرة. المهاجم يستغل ذلك عبر إدخال مفاتيح JSON إضافية محملة بأوامر خبيثة داخل الطلب المرسل إلى واجهة /accessv2، فيتم تنفيذها مباشرة بصلاحيات الجذر دون الحاجة إلى بيانات اعتماد صحيحة. هذا النوع من الهجوم يُصنّف ضمن فئة Command Injection ويُعد بالغ الخطورة لكونه يستهدف نقطة التحقق من الهوية نفسها.
الإصدارات المتأثرة والإصلاحات
الثغرة تؤثر على إصدارات GA v7.2.63.1 وما قبلها، وLTSF v7.2.54.17 وما قبلها، عند تفعيل واجهة الـ API. وقد أصدرت الشركة تحديثات عاجلة هي GA v7.2.63.2 وLTSF v7.2.54.18، تضمنت تعديلات بسيطة لكنها حاسمة: استبدال وظيفة تخصيص الذاكرة بأخرى تُهيئها بشكل آمن، وإضافة علامة إنهاء للنصوص المعالجة. هذه التغييرات، رغم بساطتها، تغلق الباب أمام استغلال الثغرة بشكل كامل. الباحث الأمني سيد إبراهيم أحمد من TrendAI Research هو من اكتشف الثغرة وأبلغ عنها في أبريل 2026، بينما تولت ZDI تنسيق الإعلان الرسمي في يونيو.
خلفيات وسياق أوسع
هذه ليست المرة الأولى التي يتعرض فيها LoadMaster لثغرات حرجة؛ ففي نوفمبر 2024 أدرجت وكالة CISA ثغرة سابقة (CVE-2024-1212) ضمن قائمة الثغرات المستغلة فعليًا. كما أصدرت Progress في أبريل 2026 تحديثات لمعالجة خمس ثغرات عالية الخطورة، أربعة منها من نوع حقن الأوامر. يُذكر أن الشركة نفسها هي المطورة لبرنامج MOVEit الذي كان محور هجمات جماعية شنها فريق Cl0p في 2023. وفي ضوء هذه السوابق، حذرت مراكز أمنية مثل المركز الكندي للأمن السيبراني من خطورة تجاهل التحديثات، خاصة أن Proof of Concept عملي لاستغلال الثغرة بات متاحًا علنًا منذ نهاية يونيو.































