Citrix - CVE-2026-23558
Date de publication :
Il s'agit d'une vulnérabilité dans l'hyperviseur XenServer affectant l'isolation entre les machines virtuelles invitées et l'hôte physique.
XenServer est un hyperviseur de type 1 développé par Cloud Software Group, anciennement Citrix. Il permet l'exécution de machines virtuelles sur des serveurs physiques bare-metal. Il est disponible en version commerciale (XenServer) et dispose d'une branche open source communautaire (XCP-ng). Son plan de gestion repose sur la pile XAPI.
Un utilisateur disposant de privilèges administrateurs dans une VM invitée peut, dans certaines circonstances, interagir avec des composants de l'hyperviseur hôte en dehors du périmètre normalement autorisé par l'isolation de virtualisation. La frontière de sécurité entre le domaine invité et le dom0 (domaine de contrôle privilégié de Xen) est insuffisamment appliquée dans ces conditions.
Elle permet à un attaquant disposant de droits élevés dans une VM de compromettre l'hôte hyperviseur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Exécution de code arbitraire (à distance)
• Élévation de privilèges
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
XenServer 8.4 sans les mises à jour de sécurité du 28 avril 2026 (canaux Early Access et Normal)