Восстание админов. В XAPI нашли способ стать «богом» сервера, если разработчики забыли про настройки
NewsMakerУязвимости в XAPI ломают иерархию прав.
В проекте XAPI нашли сразу несколько уязвимостей, которые позволяют обычному администратору фактически получить полный контроль над сервером. Проблема кроется в настройке прав доступа, из-за которой ограничения просто не срабатывают так, как задумывали разработчики.
Ситуация происходит вокруг механизма разграничения доступа по ролям. В нормальной ситуации только роль с максимальными правами может управлять системой полностью и подключаться к серверу с правами суперпользователя. Но в XAPI часть настроек оказалась доступна администраторам с более низким уровнем прав. В результате пользователь с ролью vm-admin или похожими правами может выйти за рамки разрешённого и получить доступ к критическим функциям.
Всего подтвердили пять уязвимостей с идентификаторами CVE-2026-23559 , CVE-2026-23560 , CVE-2026-23561 , CVE-2026-23562 и CVE-2026-42486 . Через одну из них можно читать и даже изменять файлы основной системы хоста, превратив их в виртуальные диски и подключив к своей виртуальной машине . Другая позволяет замаскировать виртуальную машину под системную, из-за чего она не останавливается при обслуживании и может исчезнуть из инструментов управления. Есть и ошибки, связанные с доступом к оборудованию и настройками хранения данных, а также возможность записывать произвольные данные в файлы хоста.
Любая из таких лазеек позволяет повысить привилегии до уровня полного администрирования. Уязвимости затрагивают все версии XAPI, но проявляются только в системах, где включено разграничение доступа и назначены роли с ограниченными правами. Разработчики уже выпустили исправления в обновлениях XAPI и советуют как можно быстрее их установить. Временной мерой называют отключение учётных записей с ролями vm-admin, vm-power-admin и pool-operator.
История с раскрытием уязвимостей получилась необычной. Человек, сообщивший о проблемах, заявил о 89 ошибках, однако команда проекта подтвердила только пять. Остальные оказались либо недоразумением, либо вовсе ошибочными выводами. Более того, автор отчёта попытался помешать согласованному раскрытию, поэтому в итоговом сообщении его имя не упоминается.
В проекте XAPI нашли сразу несколько уязвимостей, которые позволяют обычному администратору фактически получить полный контроль над сервером. Проблема кроется в настройке прав доступа, из-за которой ограничения просто не срабатывают так, как задумывали разработчики.
Ситуация происходит вокруг механизма разграничения доступа по ролям. В нормальной ситуации только роль с максимальными правами может управлять системой полностью и подключаться к серверу с правами суперпользователя. Но в XAPI часть настроек оказалась доступна администраторам с более низким уровнем прав. В результате пользователь с ролью vm-admin или похожими правами может выйти за рамки разрешённого и получить доступ к критическим функциям.
Всего подтвердили пять уязвимостей с идентификаторами CVE-2026-23559 , CVE-2026-23560 , CVE-2026-23561 , CVE-2026-23562 и CVE-2026-42486 . Через одну из них можно читать и даже изменять файлы основной системы хоста, превратив их в виртуальные диски и подключив к своей виртуальной машине . Другая позволяет замаскировать виртуальную машину под системную, из-за чего она не останавливается при обслуживании и может исчезнуть из инструментов управления. Есть и ошибки, связанные с доступом к оборудованию и настройками хранения данных, а также возможность записывать произвольные данные в файлы хоста.
Любая из таких лазеек позволяет повысить привилегии до уровня полного администрирования. Уязвимости затрагивают все версии XAPI, но проявляются только в системах, где включено разграничение доступа и назначены роли с ограниченными правами. Разработчики уже выпустили исправления в обновлениях XAPI и советуют как можно быстрее их установить. Временной мерой называют отключение учётных записей с ролями vm-admin, vm-power-admin и pool-operator.
История с раскрытием уязвимостей получилась необычной. Человек, сообщивший о проблемах, заявил о 89 ошибках, однако команда проекта подтвердила только пять. Остальные оказались либо недоразумением, либо вовсе ошибочными выводами. Более того, автор отчёта попытался помешать согласованному раскрытию, поэтому в итоговом сообщении его имя не упоминается.