🔴 《严重安全漏洞:CVE-2026-42486》

CVSS 评分: 严重(9.4)  状态: Deferred  发布时间: 2026-07-09


漏洞简介

CVE-2026-42486 是 XenServer 的 XAPI 组件中一个与权限控制相关的安全漏洞,属于 CWE-250(不安全的权限分配) 类别。该漏洞涉及多个 CVE 编号,均源于 XAPI 中基于角色的访问控制(Role Based Access Control, RBAC)机制对某些关键设置的权限限制不足,导致低权限管理员角色(如 vm-admin)能够执行本应仅由高权限角色(如 pool-admin)才能执行的操作。

XAPI 支持多种管理员角色,其中:

  • pool-admin:拥有完全权限,包括通过 SSH 以 root 身份登录主机。
  • pool-operatorvm-power-adminvm-admin:分别被授权管理和配置系统的不同方面,但权限低于 pool-admin。

以下为各 CVE 对应的具体漏洞描述:

  1. CVE-2026-23559:vm-admin 角色可以设置 VBD.other_config:backend-local 参数,从而将 dom0 中的任意文件转换为虚拟磁盘(VDI),并将该磁盘分配给其控制的虚拟机(VM)。这导致攻击者能够对 dom0 中的文件进行任意读取或修改。

  2. CVE-2026-23560:vm-admin 角色可以设置 VM.other-config:is_system_domain 参数,将某个虚拟机标记为系统域(system domain)。系统域在某些主机/池操作期间会被忽略并保持运行,且可能在管理工具中被隐藏,从而绕过正常的运维流程。

  3. CVE-2026-23561:vm-admin 角色可以设置 VM.other_config:storage_driver_domain 参数,将某个虚拟机标记为特定主机存储连接(PBD)的存储域。当该虚拟机被关闭时,可能导致 PBD 被错误地标记为已卸载(unplugged),而实际上并未卸载,造成存储状态不一致。

  4. CVE-2026-23562:PCI 直通(PCI passthrough)的配置本应仅限 pool-admin 角色操作,但某个 API 缺少了权限检查,导致 vm-admin 角色能够访问本不应接触的主机硬件资源。

  5. CVE-2026-42486:vm-admin 角色可以设置 VM.platform:hvm_serial 参数,该参数本应仅限 pool-admin 角色设置,因为其可能导致对 dom0 文件进行任意写入操作。

影响范围

该漏洞影响使用 XAPI 的 XenServer 环境,具体版本信息需参考官方安全公告(XSA-489)。所有启用了 RBAC 且存在低权限管理员角色(如 vm-admin)的部署均可能受影响。攻击者需要拥有有效的 vm-admin 或更低权限的账户才能利用这些漏洞。

风险分析

这些漏洞的核心风险在于 权限提升系统完整性破坏

  • CVE-2026-23559 允许 vm-admin 读取或修改 dom0 中的任意文件,可能导致敏感信息泄露(如配置文件、密钥)或系统文件被篡改,进而完全控制宿主机。
  • CVE-2026-23560 允许 vm-admin 隐藏虚拟机,使其在关键运维操作(如主机重启、池升级)中不被处理,可能导致服务中断或安全策略绕过。
  • CVE-2026-23561 可导致存储连接状态错误,引发数据不一致或存储操作失败,影响虚拟机的可用性和数据完整性。
  • CVE-2026-23562 允许 vm-admin 访问未授权的 PCI 硬件,可能导致硬件资源被滥用或宿主机稳定性受损。
  • CVE-2026-42486 允许 vm-admin 通过设置串口参数实现 dom0 文件任意写入,可直接导致宿主机被完全控制。

总体而言,这些漏洞组合使用可使低权限管理员逐步获得对宿主机(dom0)的完全控制权,属于 高危 安全风险。建议受影响的用户立即参考 Xen 官方安全公告(XSA-489)中的修复方案进行升级或配置缓解措施。


🔍 技术细节

字段
CVE ID CVE-2026-42486
CVSS 评分 9.4 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-250
发布时间 2026-07-09
最后更新 2026-07-09
状态 Deferred
数据来源 security@xen.org

🔗 参考链接