Katalog CVE

CVE-2026-42490

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-42490 dotyczy sposobu, w jaki system zdobywa blokadę dla operacji związanych z zarządzaniem gośćmi w środowisku Xen. W przypadku użycia XSM/Flask, zdobycie blokady może nastąpić przed sprawdzeniem uprawnień, co stwarza ryzyko nieautoryzowanego dostępu.

Ocena ryzyka

Brak odpowiedniego sprawdzenia uprawnień przed zdobyciem blokady może prowadzić do nieautoryzowanego dostępu do zasobów systemowych, co zagraża integralności i bezpieczeństwu danych w organizacji.

Rekomendacja

Zaleca się przegląd i modyfikację mechanizmu zdobywania blokady, aby upewnić się, że sprawdzenie uprawnień odbywa się przed jej przyznaniem. Należy również monitorować i aktualizować systemy w celu eliminacji tej podatności.

Oryginalny opis (angielski, źródło NVD)

[This CNA information record relates to multiple CVEs; the text explains which aspects/vulnerabilities correspond to which CVE.] To create and manage guests, domctl operations are used by the control domain, a possible Xenstore domain, or by a domain controlling a particular guest. Some of these operations may not be executed in parallel, so a system-wide lock is used. The way that lock is acquired is, however, not providing any fairness. This is CVE-2026-42489. Furthermore, with XSM/Flask in use, the lock acquire will, for some operations, occur ahead of any permission checking. This is CVE-2026-42490.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS