CVE-2026-23559 in XAPIالمعلومات

الملخص

بحسب VulDB • 12/07/2026

[تسجل معلومات هذا المنظم المعني بتحديد هوية الثغرات (CNA) يتعلق بعدة ثغرات CVE؛ ويوضح النص الجوانب/الثغرات المقابلة لكل منها.]

يمكن لـ XAPI تكوين مستخدمين مختلفين بأدوار مختلفة، باستخدام التحكم في الوصول القائم على الأدوار (RBAC). لمزيد من التفاصيل، انظر:

https://docs.xenserver.com/en-us/xencenter/current-release/rbac-overview.html#rbac-roles

يتمتع دور "pool-admin" بصلاحيات كاملة. ومن الجدير بالذكر أن المستخدمين الذين يحملون هذا الدور يمكنهم أيضاً الدخول إلى المضيف عبر SSH بحساب root (المسؤول).

تشمل أدوار المسؤولين الأخرى: pool-operator، وvm-power-admin، وvm-admin، وكل منها مخول بتكوين وإدارة جوانب مختلفة من النظام.

توجد بعض الإعدادات التي لا تخضع لقيود كافية، ويمكن تعيينها بمستوى امتياز إداري أقل مما هو متوقع.

* CVE-2026-23559: يمكن لمستخدم vm-admin تعيين VBD.other_config:backend-local وتحويل ملفات عشوائية في dom0 إلى وحدات تخزين افتراضية (VDIs) ومنح هذه الأقراص لآلة افتراضية يتحكم فيها. وهذا يمثل قراءة و/أو تعديل تعسفيًا للملفات الموجودة في dom0.

* CVE-2026-23560: يمكن لمستخدم vm-admin تعيين VM.other-config:is_system_domain ووضع علامة على آلة افتراضية كـ "نطاق نظام" (system domain). يتم تجاهل نطاقات النظام وتركها تعمل أثناء عمليات أخرى معينة للمضيف/المجموعة، وقد تكون مخفية عن العرض في أدوات الإدارة.

* CVE-2026-23561: يمكن لمستخدم vm-admin تعيين VM.other_config:storage_driver_domain ووضع علامة على آلة افتراضية كـ "نطاق تخزين" لاتصال تخزين مضيف معين (PBD). قد يؤدي إيقاف تشغيل الآلة الافتراضية إلى وضع علامة خاطئة على PBD بأنه غير متصل عندما يكون ذلك ليس صحيحًا.

* CVE-2026-23562: عادةً ما يقتصر تكوين تمرير PCI (PCI passthrough) على دور pool-admin. ومع ذلك، كانت هناك واجهة برمجة تطبيقات واحدة تفتقر إلى هذا الفحص، مما سمح لمستخدم vm-admin بالوصول إلى عتاد المضيف غير المقصود.

* CVE-2026-42486: يمكن لمستخدم vm-admin تعيين معلمة VM.platform:hvm_serial، والتي ينبغي أن تكون مقصورة على دور pool-admin، حيث يمكنها السماح بكتابة تعسفية لملفات dom0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

XEN

حجز

14/01/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377219

EPSS

0.00134

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!