CVE-2026-23559 in XAPI
Zusammenfassung
von VulDB • 09.07.2026
[Dieser CNA-Datensatz betrifft mehrere CVEs; der Text erläutert, welche Aspekte/Schwachstellen welchem CVE entsprechen.]
XAPI kann verschiedene Benutzer mit unterschiedlichen Rollen konfigurieren, indem es rollenbasierten Zugriffsschutz (Role Based Access Control) verwendet. Weitere Details finden Sie unter:
https://docs.xenserver.com/en-us/xencenter/current-release/rbac-overview.html#rbac-roles
Die Rolle „pool-admin“ verfügt über volle Berechtigungen. Insbesondere können Benutzer mit dieser Rolle auch per SSH als root auf den Host zugreifen.
Zu den weiteren Administratorrollen gehören pool-operator, vm-power-admin und vm-admin, die jeweils berechtigt sind, verschiedene Aspekte des Systems zu konfigurieren und zu verwalten.
Einige Einstellungen sind unzureichend eingeschränkt und können von einem Administrator mit niedrigeren Berechtigungen als erwartet festgelegt werden.
* CVE-2026-23559: Ein vm-admin kann VBD.other_config:backend-local setzen und beliebige Dateien in dom0 in VDIs (virtuelle Laufwerke) umwandeln sowie diese Laufwerke einer VM zuweisen, die er kontrolliert. Dies ermöglicht ein beliebiges Lesen und/oder Ändern von Dateien in dom0.
* CVE-2026-23560: Ein vm-admin kann VM.other-config:is_system_domain setzen und eine VM als Systemdomäne kennzeichnen. Systemdomänen werden bei bestimmten anderen Host-/Pool-Vorgängen ignoriert und weiterhin ausgeführt, können zudem in Verwaltungstools vor der Ansicht verborgen sein.
* CVE-2026-23561: Ein vm-admin kann VM.other_config:storage_driver_domain setzen und eine VM als Speicherdomäne für eine bestimmte hostseitige Speicherverbindung (PBD) kennzeichnen. Das Herunterfahren der VM dazu führen, dass die PBD fälschlicherweise als abgetrennt markiert wird, obwohl dies nicht der Fall ist.
* CVE-2026-23562: Die Konfiguration des PCI-Passthroughs ist normalerweise auf die Rolle pool-admin beschränkt. Eine API fehlte jedoch diese Überprüfung, wodurch ein vm-admin Zugriff auf unbeabsichtigte Host-Hardware erhielt.
* CVE-2026-42486: Ein vm-admin kann den Parameter VM.platform:hvm_serial setzen, was eigentlich der Rolle pool-admin vorbehalten sein sollte, da dies beliebiges Schreiben von Dateien in dom0 ermöglichen kann.
Once again VulDB remains the best source for vulnerability data.