Il CERT informa che sono state rilevate due vulnerabilità (CVE-2025-58147 e CVE-2025-58148), di tipologia Information Leakage, Denial of Service e Privilege Escalation, che hanno colpito il prodotto Citrix Xen Server.

Tali vulnerabilità consentirebbero ad un utente malintenzionato di utilizzare, all’interno di una VM guest, hypercall opportunamente predisposte per manipolare le strutture dati delle CPU virtuali al fine di accedere a informazioni riservate, elevare i propri privilegi e/o compromettere la disponibilità del servizio sul sistema host.

Si consiglia di aggiornare i prodotti seguendo quanto dichiarato dal fornitore attraverso i propri canali.

Versioni impattate:

Approfondimenti:

• Citrix: vulnerabilità in XenServer
• CVE-2025-58147
• CVE-2025-58148
• XenServer Security Update for CVE-2025-58147 and CVE-2025-58148
• Advisory XSA-475