漏洞概述 漏洞编号:XSA-489 发布日期:2026-04-28 18:05 更新日期:2026-04-29 16:36 版本:2 CVE编号:CVE-2026-23559, CVE-2026-23560, CVE-2026-23561, CVE-2026-23562, CVE-2026-42486 标题:XAPI中的多个RBAC问题 影响范围 受影响系统:所有版本的XAPI 具体影响: - 用户通过角色(Role Based Access Control)配置不同权限,但某些设置被不当限制,导致低权限用户可以执行高权限操作。 - 具体漏洞包括: - CVE-2026-23559:vm-admin可以设置VBD,将任意文件转换为VDI,并给VM控制磁盘。 - CVE-2026-23560:vm-admin可以设置VM,使其成为系统域,隐藏VM。 - CVE-2026-23561:vm-admin可以设置VM的存储域,导致PBD错误标记为未连接。 - CVE-2026-23562:vm-admin可以绕过PCI直通配置检查,访问未授权的硬件。 - CVE-2026-42486:vm-admin可以设置VM的串行参数,允许任意dom0文件写入。 修复方案 修复措施: - 禁用任何配置为vm-admin、vm-power-admin或pool-operator角色的用户(RBAC主体)。 - 修复已合并并回溯到XAPI的漏洞,具体版本为: - https://github.com/xapi-project/xen-api/releases/tag/xs-6.12.0 - https://github.com/xapi-project/xen-api/releases/tag/xs-6.1.1 其他信息 漏洞披露:这些漏洞已公开披露。 研究人员:研究人员发现并报告了这些漏洞,但XAPI团队最初认为只有5个是真正的漏洞,其他可能是AI幻觉。 协调披露:研究人员采取了积极措施防止协调披露,但由于恶意行为,他们未得到认可。 POC代码 POC代码:页面中未包含具体的POC代码或利用代码。 --- 总结:XAPI中存在多个RBAC配置不当的漏洞,可能导致低权限用户执行高权限操作。修复措施包括禁用特定角色用户,并更新到指定版本。