🔴 严重 | CVE-2026-42486 — [This CNA information record relates to multiple C...
🔴 《严重安全漏洞:CVE-2026-42486》
CVSS 评分: 严重(9.4) 状态: Deferred 发布时间: 2026-07-09
漏洞简介
CVE-2026-42486 是 XenServer 的 XAPI 组件中一个与权限控制相关的安全漏洞,属于 CWE-250(不安全的权限分配) 类别。该漏洞涉及多个 CVE 编号,均源于 XAPI 中基于角色的访问控制(Role Based Access Control, RBAC)机制对某些关键设置的权限限制不足,导致低权限管理员角色(如 vm-admin)能够执行本应仅由高权限角色(如 pool-admin)才能执行的操作。
XAPI 支持多种管理员角色,其中:
- pool-admin:拥有完全权限,包括通过 SSH 以 root 身份登录主机。
- pool-operator、vm-power-admin、vm-admin:分别被授权管理和配置系统的不同方面,但权限低于 pool-admin。
以下为各 CVE 对应的具体漏洞描述:
CVE-2026-23559:vm-admin 角色可以设置
VBD.other_config:backend-local参数,从而将 dom0 中的任意文件转换为虚拟磁盘(VDI),并将该磁盘分配给其控制的虚拟机(VM)。这导致攻击者能够对 dom0 中的文件进行任意读取或修改。CVE-2026-23560:vm-admin 角色可以设置
VM.other-config:is_system_domain参数,将某个虚拟机标记为系统域(system domain)。系统域在某些主机/池操作期间会被忽略并保持运行,且可能在管理工具中被隐藏,从而绕过正常的运维流程。CVE-2026-23561:vm-admin 角色可以设置
VM.other_config:storage_driver_domain参数,将某个虚拟机标记为特定主机存储连接(PBD)的存储域。当该虚拟机被关闭时,可能导致 PBD 被错误地标记为已卸载(unplugged),而实际上并未卸载,造成存储状态不一致。CVE-2026-23562:PCI 直通(PCI passthrough)的配置本应仅限 pool-admin 角色操作,但某个 API 缺少了权限检查,导致 vm-admin 角色能够访问本不应接触的主机硬件资源。
CVE-2026-42486:vm-admin 角色可以设置
VM.platform:hvm_serial参数,该参数本应仅限 pool-admin 角色设置,因为其可能导致对 dom0 文件进行任意写入操作。
影响范围
该漏洞影响使用 XAPI 的 XenServer 环境,具体版本信息需参考官方安全公告(XSA-489)。所有启用了 RBAC 且存在低权限管理员角色(如 vm-admin)的部署均可能受影响。攻击者需要拥有有效的 vm-admin 或更低权限的账户才能利用这些漏洞。
风险分析
这些漏洞的核心风险在于 权限提升 和 系统完整性破坏:
- CVE-2026-23559 允许 vm-admin 读取或修改 dom0 中的任意文件,可能导致敏感信息泄露(如配置文件、密钥)或系统文件被篡改,进而完全控制宿主机。
- CVE-2026-23560 允许 vm-admin 隐藏虚拟机,使其在关键运维操作(如主机重启、池升级)中不被处理,可能导致服务中断或安全策略绕过。
- CVE-2026-23561 可导致存储连接状态错误,引发数据不一致或存储操作失败,影响虚拟机的可用性和数据完整性。
- CVE-2026-23562 允许 vm-admin 访问未授权的 PCI 硬件,可能导致硬件资源被滥用或宿主机稳定性受损。
- CVE-2026-42486 允许 vm-admin 通过设置串口参数实现 dom0 文件任意写入,可直接导致宿主机被完全控制。
总体而言,这些漏洞组合使用可使低权限管理员逐步获得对宿主机(dom0)的完全控制权,属于 高危 安全风险。建议受影响的用户立即参考 Xen 官方安全公告(XSA-489)中的修复方案进行升级或配置缓解措施。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-42486 |
| CVSS 评分 | 9.4 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-250 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Deferred |
| 数据来源 | security@xen.org |