CVE-2026-23562informazioni

Riassunto

di VulDB • 09/07/2026

[Questo record informativo del CNA riguarda più CVE; il testo spiega quali aspetti/vulnerabilità corrispondono a ciascuna CVE.]

XAPI può configurare utenti diversi con ruoli differenti utilizzando l'Access Control basato sui Ruoli (RBAC). Per ulteriori dettagli, vedere:

https://docs.xenserver.com/en-us/xencenter/current-release/rbac-overview.html#rbac-roles

Il ruolo pool-admin dispone di privilegi completi. In particolare, gli utenti con questo ruolo possono anche accedere tramite SSH all'host come root.

Gli altri ruoli di amministratore sono pool-operator, vm-power-admin e vm-amministratore (vm-admin), ciascuno dei quali è autorizzato a configurare e gestire vari aspetti del sistema.

Alcune impostazioni non sono adeguatamente ristrette e possono essere impostate da un amministratore con privilegi inferiori rispetto al previsto.

* CVE-2026-23559: Un vm-amministratore (vm-admin) può impostare VBD.other_config:backend-local ed convertire file arbitrari in dom0 in VDIs (dischi virtuali), assegnando detti dischi a una VM di sua proprietà. Si tratta di una lettura e/o modifica arbitraria dei file presenti in dom0.

* CVE-2026-23560: Un vm-amministratore (vm-admin) può impostare VM.other-config:is_system_domain ed etichettare una VM come dominio di sistema. I domini di sistema vengono ignorati e lasciati in esecuzione durante determinate altre operazioni sull'host/pool, e possono essere nascosti alla visualizzazione negli strumenti di gestione.

* CVE-2026-23561: Un vm-amministratore (vm-admin) può impostare VM.other_config:storage_driver_domain ed etichettare una VM come dominio di storage per una specifica connessione di storage dell'host (PBD). L'arresto della VM può causare l'equivoca marcatura del PBD come scollegato quando in realtà non lo è.

* CVE-2026-23562: La configurazione del PCI passthrough è normalmente ristretta al ruolo pool-admin. Tuttavia, un'API mancava di questo controllo, consentendo a un vm-amministratore (vm-admin) l'accesso all'hardware dell'host non previsto.

* CVE-2026-42486: Un vm-amministratore (vm-admin) può impostare il parametro VM.platform:hvm_serial, che dovrebbe essere ristretto al ruolo pool-admin, poiché ciò potrebbe consentire la scrittura arbitraria di file in dom0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Divulgazione

09/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!