← Volver a artículos
Seguridad· 3 min de lectura

Cuatro avisos de Xen (XSA-491 a XSA-494): corrupción de memoria por mapcache y caída del hipervisor

Una mano sosteniendo un candado, símbolo de la ciberseguridad
Foto: Nathan Thomas · Pexels

El 9 de junio de 2026 el proyecto Xen publicó cuatro avisos de seguridad de golpe, numerados de XSA-491 a XSA-494. Afectan al hipervisor en x86 y, en un caso, también a ARM. Si gestionas hosts de virtualización con Xen, conviene mirar cada uno con calma porque las condiciones de exposición son distintas.

XSA-494 (CVE-2026-42488): metadatos de mapcache descuadrados

Es el más serio de los cuatro. El aviso lo titula “x86: mismatched mapcache metadata”. El problema está en las rutas de error del shadow paging: cuando se cambian las tablas de páginas, esas rutas no actualizan correctamente las referencias del vCPU. Eso deja un descuadre entre las tablas de páginas cargadas y los metadatos del mapcache, y a partir de ahí puede haber corrupción de memoria.

El impacto que reconoce el aviso es triple: escalada de privilegios, denegación de servicio de todo el host y fuga de información. La parte tranquilizadora es que las condiciones son estrechas. Solo se ven afectados los invitados PV de 64 bits ejecutándose en modo shadow, una configuración que se usa durante la migración de invitados o como solución alternativa de XSA-273. Son vulnerables Xen 4.15 y posteriores, en concreto cualquier versión con el arreglo de XSA-438 aplicado.

Si no usas shadow mode con PV de 64 bits, no estás expuesto. Como mitigación, el proyecto sugiere desplegar solo invitados HVM o PVH, o ejecutar los invitados PV dentro del shim PV. Qubes OS, por ejemplo, no se ve afectado porque deshabilita el shadow paging en tiempo de compilación.

XSA-491 (CVE-2026-42487): recorrido de la lista de puertos de E/S en HVM

El segundo aviso relevante se titula “x86 HVM I/O port list traversal”. Aquí un device model que controla invitados HVM puede provocar la caída del hipervisor, con denegación de servicio para todo el host. El aviso no descarta escalada de privilegios ni fuga de información.

La causa: los mapeos de puertos de E/S del device model usan listas enlazadas que pueden modificarse en cualquier momento mediante llamadas a XEN_DOMCTL_ioport_mapping. El recorrido de esas listas por parte del hipervisor no se sincroniza con las actualizaciones, y esa sincronización faltaba hasta ahora. Para explotarlo hace falta control de un device model que corra en stub domains o en un Dom0 desprivilegiado.

Son vulnerables todas las versiones desde Xen 3.2 en adelante; las anteriores no se han revisado. Solo afecta a x86 y solo a invitados HVM. Ejecutar exclusivamente invitados PV o PVH evita el problema. Es el único de los cuatro que afecta a Qubes OS, cubierto en su boletín QSB-115.

XSA-492 y XSA-493

Los otros dos avisos del mismo día son de menor alcance. XSA-492 se clasifica como denegación de servicio únicamente. XSA-493 afecta solo a sistemas ARM, motivo por el que Qubes OS, que no corre en ARM, queda fuera.

Qué hacer

Aplica los parches del proyecto Xen. Para XSA-494 hay parches para xen-unstable y las ramas estables de 4.17.x a 4.21.x; para XSA-491, los ficheros xsa491.patch (xen-unstable) y xsa491-4.21.patch (de 4.21.x a 4.17.x). Si tu instalación solo usa invitados HVM o PVH, XSA-494 no te toca; si solo usas PV o PVH, XSA-491 tampoco. Conviene confirmar tu configuración antes de asumir que estás a salvo.

Esta no es la primera vez que el shadow paging de Xen da problemas. A principios de 2026 ya hubo un caso parecido con Xen XSA-477 (CVE-2025-58150), un desbordamiento de buffer en el código de tracing con shadow paging activo.

Fuente