🔴 《严重安全漏洞:CVE-2026-23562》

CVSS 评分: 严重(9.4)  状态: Deferred  发布时间: 2026-07-09


漏洞简介

CVE-2026-23562 是 XenServer XAPI 组件中一个与 PCI 直通(PCI passthrough)配置相关的权限提升漏洞。该漏洞属于 CWE-250 分类(不安全的权限检查),其 CVSS 4.0 评分为 10.0(严重),攻击向量为本地(AV:L),攻击复杂度低(AC:L),无需任何权限(PR:N)或用户交互(UI:N),且对机密性、完整性和可用性均造成高影响(VC:H/VI:H/VA:H)。

根据 Xen 安全公告(XSA-489),该问题涉及多个 CVE,其中 CVE-2026-23562 的具体描述如下:

  • CVE-2026-23562:PCI 直通的配置通常应仅限于 pool-admin 角色。然而,XAPI 中有一个 API 缺少了必要的权限检查,导致 vm-admin 角色能够访问本不应接触的主机硬件。这意味着一个低权限的管理员(vm-admin)可以通过该漏洞操作宿主机的 PCI 设备,例如将物理硬件直接分配给其控制的虚拟机,从而可能绕过宿主机的安全隔离机制。

影响范围

  • 受影响软件:XenServer XAPI 组件(具体版本需参考 Xen 安全公告 XSA-489 的详细补丁信息)。
  • 受影响角色vm-admin 角色(本应仅能管理虚拟机相关设置,但通过此漏洞可获得超出预期的硬件访问权限)。
  • 相关 CVE:该公告还涉及其他四个漏洞,均与权限控制不足有关:
    • CVE-2026-23559vm-admin 可设置 VBD.other_config:backend-local,将 dom0 中的任意文件转换为虚拟磁盘(VDI)并分配给其控制的虚拟机,导致对 dom0 文件的任意读取或修改。
    • CVE-2026-23560vm-admin 可设置 VM.other-config:is_system_domain,将虚拟机标记为系统域,使其在特定主机/池操作中被忽略并保持运行,且可能在管理工具中隐藏。
    • CVE-2026-23561vm-admin 可设置 VM.other_config:storage_driver_domain,将虚拟机标记为特定主机存储连接(PBD)的存储域,关闭该虚拟机可能导致 PBD 被错误标记为已卸载。
    • CVE-2026-42486vm-admin 可设置 VM.platform:hvm_serial 参数(本应仅限 pool-admin),从而允许对 dom0 文件进行任意写入。

风险分析

  • 攻击后果:成功利用 CVE-2026-23562 后,一个 vm-admin 角色用户(通常仅被授权管理虚拟机)可以:

    • 将宿主机的物理 PCI 设备(如网卡、GPU、存储控制器等)直接分配给其控制的虚拟机,实现硬件级直通。
    • 可能利用直通硬件发起进一步的攻击,例如通过 DMA(直接内存访问)读取宿主机内存、破坏宿主机内核数据,或完全控制宿主机。
    • 由于 CVSS 评分高达 10.0,且攻击无需任何权限或用户交互,该漏洞在本地环境中极易被利用,可能导致宿主机完全沦陷。
  • 整体风险:该漏洞是 XenServer 权限隔离机制中的严重缺陷。结合公告中其他 CVE(如 CVE-2026-23559 的任意文件读写、CVE-2026-42486 的任意文件写入),vm-admin 角色实际上获得了接近 pool-admin 的权限,破坏了基于角色的访问控制(RBAC)设计。攻击者若已获得 vm-admin 账户(例如通过内部威胁或凭据泄露),即可完全控制宿主机及其上的所有虚拟机。

  • 建议措施:立即应用 Xen 安全公告 XSA-489 提供的补丁,并审查所有 vm-admin 角色的用户权限。在补丁部署前,应限制对 XAPI 的本地访问,并监控异常的设备直通配置行为。


🔍 技术细节

字段
CVE ID CVE-2026-23562
CVSS 评分 9.4 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-250
发布时间 2026-07-09
最后更新 2026-07-09
状态 Deferred
数据来源 security@xen.org

🔗 参考链接