CVE-2026-42486 in XAPIinformation

Résumé

par VulDB • 09/07/2026

[Cet enregistrement d’information du CNA concerne plusieurs CVE ; le texte explique quels aspects/vulnérabilités correspondent à quelle CVE.]

XAPI permet de configurer différents utilisateurs avec des rôles distincts, en utilisant un Contrôle d’accès basé sur les Rôles (RBAC). Pour plus de détails, voir :

https://docs.xenserver.com/en-us/xencenter/current-release/rbac-overview.html#rbac-roles

Le rôle pool-admin dispose de privilèges complets. Il est à noter que les utilisateurs disposant de ce rôle peuvent également se connecter en SSH sur l’hôte en tant qu’utilisateur root.

Les autres rôles d’administrateur sont pool-operator, vm-power-admin et vm-admin ; chacun d’eux est autorisé à configurer et gérer divers aspects du système.

Certains paramètres sont insuffisamment restreints et peuvent être définis par un administrateur disposant de privilèges inférieurs à ceux attendus.

* CVE-2026-23559 : Un vm-admin peut définir VBD.other_config:backend-local et transformer des fichiers arbitraires dans dom0 en VDIs (disques virtuels), puis attribuer ces disques à une VM qu’il contrôle. Il s’agit d’une lecture et/ou modification arbitraire de fichiers situés dans dom0.

* CVE-2026-23560 : Un vm-admin peut définir VM.other-config:is_system_domain et marquer une VM comme domaine système. Les domaines systèmes sont ignorés et laissés en cours d’exécution lors de certaines autres opérations sur l’hôte/le pool, et peuvent être masqués dans les outils de gestion.

* CVE-2026-23561 : Un vm-admin peut définir VM.other_config:storage_driver_domain et marquer une VM comme domaine de stockage pour une connexion de stockage hôte spécifique (PBD). L’arrêt de la VM peut entraîner l’indication erronée que le PBD est déconnecté alors qu’il ne l’est pas.

* CVE-2026-23562 : La configuration du passage direct PCI (PCI passthrough) est normalement restreinte au rôle pool-admin. Toutefois, une API manquait cette vérification, permettant à un vm-admin d’accéder au matériel hôte de manière non prévue.

* CVE-2026-42486 : Un vm-admin peut définir le paramètre VM.platform:hvm_serial, qui devrait être restreint au rôle pool-admin, car cela peut permettre une écriture arbitraire dans les fichiers de dom0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

XEN

Réserver

27/04/2026

Divulgation

09/07/2026

Modérer

accepté

Entrée

VDB-377535

CPE

prêt

EPSS

0.00140

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!