Rebelión de administradores: en XAPI hallan la manera de convertirse en «dios» del servidor si los desarrolladores olvidaron los ajustes
Vulnerabilidades en XAPI permiten eludir la jerarquía de permisos.
En el proyecto XAPI se encontraron varias vulnerabilidades que permiten a un administrador ordinario obtener prácticamente el control total del servidor. El problema radica en la configuración de los permisos de acceso, por la que las restricciones simplemente no funcionan como las diseñaron los desarrolladores.
La situación gira en torno al mecanismo de control de acceso por roles. En condiciones normales, solo el rol con máximos privilegios puede administrar completamente el sistema y conectarse al servidor con derechos de superusuario. Pero en XAPI parte de la configuración resultó accesible para administradores con un nivel de permisos inferior. Como resultado, un usuario con el rol vm-admin o con permisos similares puede exceder lo permitido y acceder a funciones críticas.
En total confirmaron cinco vulnerabilidades con los identificadores CVE-2026-23559, CVE-2026-23560, CVE-2026-23561, CVE-2026-23562 y CVE-2026-42486. A través de una de ellas se puede leer e incluso modificar archivos del sistema host principal, convertirlos en discos virtuales y conectarlos a su propia máquina virtual. Otra permite enmascarar una máquina virtual como si fuera del sistema, de modo que no se detiene durante el mantenimiento y puede desaparecer de las herramientas de gestión. También hay errores relacionados con el acceso al hardware y la configuración del almacenamiento, así como la posibilidad de escribir datos arbitrarios en archivos del host.
Cualquiera de estas vulnerabilidades permite escalar privilegios hasta obtener administración completa. Las vulnerabilidades afectan a todas las versiones de XAPI, pero solo se manifiestan en sistemas donde está habilitado el control de acceso y se han asignado roles con permisos limitados. Los desarrolladores ya publicaron correcciones en las actualizaciones de XAPI y recomiendan instalarlas lo antes posible. Como medida temporal se recomienda desactivar las cuentas con los roles vm-admin, vm-power-admin y pool-operator.
La historia de la divulgación de las vulnerabilidades fue inusual. La persona que informó de los problemas afirmó haber encontrado 89 errores; sin embargo, el equipo del proyecto confirmó solo cinco. Los demás resultaron ser un malentendido o conclusiones erróneas. Además, el autor del informe intentó obstaculizar la divulgación coordinada, por lo que su nombre no se menciona en el comunicado final.