🔴 严重 | CVE-2025-58146 — There are multiple issues. 1. Updates to the XAP...
🔴 《严重安全漏洞:CVE-2025-58146》
CVSS 评分: 严重(9.4) 状态: Deferred 发布时间: 2026-07-09
漏洞简介
CVE-2025-58146 涉及 XAPI(Xen 管理 API)中的多个安全漏洞,相关 CWE 分类为 CWE-20(输入验证不当)。该漏洞的 CVSS 4.0 向量为 AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H,表明攻击者可在本地利用低复杂度攻击,无需权限或用户交互,即可对机密性、完整性和可用性造成严重影响,并波及安全域外的系统组件。
具体漏洞如下:
事件线程终止漏洞
XAPI 数据库在更新时会先对输入字符串进行净化(sanitise),但在生成通知(notification)时却使用了未经净化的原始输入。这会导致数据库的事件线程(event thread)异常终止,进而停止后续所有事件处理,造成数据库服务不可用。UTF-8 编码兼容性漏洞
XAPI 的 UTF-8 编码器实现的是 Unicode 规范 v3.0,而 XAPI 所依赖的库遵循更严格的 Unicode v3.1 规范。这种差异导致某些字符串被 XAPI 视为合法 UTF-8 并被接受,但被其他库拒绝。攻击者可将此类字符串写入数据库,导致数据库在后续加载时彻底失败,无法恢复。Map/Set 更新缺少输入净化
XAPI 数据库中对对象(objects)的 Map 和 Set 类型字段进行更新时,完全没有进行输入净化(input sanitisation)。攻击者可以直接向这些字段注入恶意或畸形数据,破坏数据库结构或触发其他未定义行为。
影响范围
- 受影响软件:Xen 项目中的 XAPI(Xen Management API)组件。
- 具体版本:根据 Xen 安全公告(XSA-474),该漏洞影响所有使用受影响 XAPI 版本的 Xen 系统。建议参考官方公告确认具体版本范围。
- 攻击条件:攻击者需要具备本地访问权限(AV:L),但无需任何特权(PR:N)或用户交互(UI:N),攻击复杂度低(AC:L)。
风险分析
攻击后果:
- 服务中断:漏洞 1 可导致 XAPI 数据库事件处理线程终止,使管理接口无法响应,影响虚拟化环境的正常运维。
- 数据持久性破坏:漏洞 2 和 3 允许攻击者向数据库写入畸形数据,导致数据库无法加载,可能造成虚拟机配置、网络设置等关键数据永久丢失,甚至需要重建整个管理数据库。
- 权限提升与逃逸:由于 XAPI 通常以高权限运行(如 root),且 CVSS 评分显示对机密性、完整性和可用性均为高影响(VC:H/VI:H/VA:H),攻击者可能通过破坏数据库进一步控制宿主机或影响其他虚拟机(SC:H/SI:H/SA:H)。
综合风险等级:高危。尽管需要本地访问,但无需认证且利用简单,一旦成功可导致管理平面完全瘫痪或数据不可恢复,对 Xen 虚拟化环境的稳定性和安全性构成严重威胁。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2025-58146 |
| CVSS 评分 | 9.4 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-20 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Deferred |
| 数据来源 | security@xen.org |