🔴 《严重安全漏洞:CVE-2026-23561》

CVSS 评分: 严重(9.4)  状态: Deferred  发布时间: 2026-07-09


漏洞简介

本 CNA 信息记录涉及多个 CVE 漏洞,以下说明将分别对应每个 CVE 的具体方面与漏洞细节。XAPI 使用基于角色的访问控制(Role Based Access Control, RBAC)为不同用户配置不同角色。其中,池管理员(pool-admin)角色拥有完全权限,特别是该角色的用户可以通过 SSH 以 root 身份登录主机。其他管理员角色包括池操作员(pool-operator)、虚拟机电源管理员(vm-power-admin)和虚拟机管理员(vm-admin),这些角色被授权配置和管理系统的各个方面。

然而,某些系统设置的权限限制不足,可以由低于预期权限的管理员进行设置。具体漏洞如下:

  • CVE-2026-23561:虚拟机管理员(vm-admin)可以设置 VM.other_config:storage_driver_domain 参数,并将某个虚拟机标记为特定主机存储连接(PBD)的存储域。当该虚拟机关闭时,可能导致 PBD 被错误地标记为已拔出(unplugged),而实际上并未拔出。

  • CVE-2026-23559:虚拟机管理员(vm-admin)可以设置 VBD.other_config:backend-local 参数,将 dom0 中的任意文件转换为虚拟磁盘(VDI),并将该磁盘分配给其控制的虚拟机。这会导致对 dom0 中文件的任意读取和/或修改。

  • CVE-2026-23560:虚拟机管理员(vm-admin)可以设置 VM.other-config:is_system_domain 参数,将某个虚拟机标记为系统域(system domain)。系统域在某些主机/池操作期间会被忽略并保持运行,并且可能在工具中隐藏显示。

  • CVE-2026-23562:PCI 直通(PCI passthrough)的配置通常仅限于池管理员(pool-admin)角色。然而,有一个 API 缺少此权限检查,导致虚拟机管理员(vm-admin)能够访问未授权的主机硬件。

  • CVE-2026-42486:虚拟机管理员(vm-admin)可以设置 VM.platform:hvm_serial 参数,该参数本应仅限于池管理员(pool-admin)角色使用,因为它可能导致对 dom0 文件的任意写入。

影响范围

该漏洞影响使用 XAPI 并启用基于角色访问控制(RBAC)的 XenServer 环境。具体版本信息请参考官方安全公告(XSA-489):

所有使用上述角色配置(特别是 vm-admin 角色)的系统均可能受到影响。

风险分析

  • CVE-2026-23561:攻击者可通过关闭被标记为存储域的虚拟机,导致存储连接状态错误,可能引发存储服务中断或数据访问异常,影响系统稳定性与可用性。
  • CVE-2026-23559:攻击者可将 dom0 中的任意文件暴露给虚拟机,实现任意读取或修改,严重威胁主机系统的机密性与完整性。
  • CVE-2026-23560:攻击者可将恶意虚拟机伪装为系统域,使其在关键操作中不被处理,可能绕过安全策略或导致资源管理混乱。
  • CVE-2026-23562:攻击者可访问未授权的主机硬件(如 PCI 设备),可能导致硬件资源滥用或信息泄露。
  • CVE-2026-42486:攻击者可利用该参数向 dom0 写入任意文件,可能导致系统配置篡改或权限提升。

总体而言,这些漏洞允许低权限管理员(vm-admin)执行本应仅限于高权限管理员(pool-admin)的操作,可能导致权限提升、数据泄露、系统破坏或服务中断。建议受影响的用户尽快参考官方安全公告进行修复或采取缓解措施。


🔍 技术细节

字段
CVE ID CVE-2026-23561
CVSS 评分 9.4 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-250
发布时间 2026-07-09
最后更新 2026-07-09
状态 Deferred
数据来源 security@xen.org

🔗 参考链接