🔴 严重 | CVE-2026-23559 — [This CNA information record relates to multiple C...
🔴 《严重安全漏洞:CVE-2026-23559》
CVSS 评分: 严重(9.4) 状态: Deferred 发布时间: 2026-07-09
漏洞简介
本安全公告涉及多个 CVE 漏洞,均与 XenServer 的基于角色的访问控制(Role Based Access Control, RBAC)机制相关。XAPI 允许通过 RBAC 为不同用户配置不同角色,其中 pool-admin 角色拥有完全权限(包括通过 SSH 以 root 身份登录主机),而其他管理员角色(如 pool-operator、vm-power-admin 和 vm-admin)仅被授权配置和管理系统的特定方面。然而,某些系统设置的限制不足,导致低权限管理员能够执行超出预期权限的操作。具体漏洞如下:
- CVE-2026-23559:
vm-admin角色可以设置VBD.other_config:backend-local参数,从而将 dom0 中的任意文件转换为虚拟磁盘(VDI),并将这些磁盘分配给其控制的虚拟机(VM)。这允许对 dom0 中的文件进行任意读取和/或修改。 - CVE-2026-23560:
vm-admin角色可以设置VM.other-config:is_system_domain参数,将某个 VM 标记为系统域(system domain)。被标记为系统域的 VM 在某些主机/池操作(如重启或维护)中会被忽略并保持运行,且可能在管理工具中被隐藏。 - CVE-2026-23561:
vm-admin角色可以设置VM.other_config:storage_driver_domain参数,将某个 VM 标记为特定主机存储连接(PBD)的存储域。当该 VM 被关闭时,可能导致 PBD 被错误地标记为已卸载(unplugged),而实际上并未卸载。 - CVE-2026-23562:PCI 直通(PCI passthrough)的配置通常仅限于
pool-admin角色。但某个 API 缺少权限检查,允许vm-admin角色访问本不应接触的主机硬件。 - CVE-2026-42486:
vm-admin角色可以设置VM.platform:hvm_serial参数,该参数本应仅限pool-admin角色使用,因为它可能导致对 dom0 文件的任意写入。
影响范围
- 受影响软件:XenServer(具体版本信息请参考官方安全公告 XSA-489)
- 受影响角色:
vm-admin角色(以及可能受影响的pool-operator和vm-power-admin角色,但公告中明确提及的是vm-admin) - 漏洞触发条件:攻击者需要拥有
vm-admin或更低权限的管理员账户,并能够通过 XAPI 调用相关 API 设置特定参数。
风险分析
- CVE-2026-23559:高风险。
vm-admin可通过将 dom0 文件转换为 VDI 并挂载到 VM 中,实现任意文件读取或修改。攻击者可能读取敏感配置、密钥或修改系统文件,导致 dom0 被完全控制。 - CVE-2026-23560:中高风险。攻击者可将恶意 VM 标记为系统域,使其在主机维护或重启时持续运行,从而绕过安全策略或隐藏恶意活动。此外,被隐藏的 VM 可能逃避管理员的监控。
- CVE-2026-23561:中风险。通过错误标记存储域,攻击者可能导致存储连接状态不一致,引发数据损坏或存储服务中断。关闭 VM 后,PBD 可能被错误标记为已卸载,影响后续存储操作。
- CVE-2026-23562:高风险。
vm-admin可绕过权限限制,将主机硬件(如 GPU、网卡)直通给 VM,可能导致硬件资源被非授权使用,甚至通过硬件漏洞(如 DMA 攻击)实现权限提升或数据泄露。 - CVE-2026-42486:高风险。通过设置
hvm_serial参数,vm-admin可向 dom0 任意写入文件,可能覆盖关键系统文件或植入后门,直接威胁主机安全。
总结:这些漏洞组合利用时,一个低权限的 vm-admin 用户可能完全控制 dom0 主机,包括读取/修改任意文件、访问硬件设备、隐藏恶意 VM 以及破坏存储系统。建议立即应用 XenServer 官方提供的安全补丁,并审查所有 vm-admin 角色的用户权限。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-23559 |
| CVSS 评分 | 9.4 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-250 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Deferred |
| 数据来源 | security@xen.org |
🔗 参考链接
💬 评论