Vulnerability Details CVE-2016-9380
The pygrub boot loader emulator in Xen, when nul-delimited output format is requested, allows local pygrub-using guest OS administrators to read or delete arbitrary files on the host via NUL bytes in the bootloader configuration file.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 27.6%
CVSS Severity
CVSS v3 Score 7.5
CVSS v2 Score 4.6
References
- http://www.securityfocus.com/bid/94473
- http://www.securitytracker.com/id/1037347
- http://xenbits.xen.org/xsa/advisory-198.html
- http://xenbits.xen.org/xsa/xsa198.patch
- https://security.gentoo.org/glsa/201612-56
- https://support.citrix.com/article/CTX218775
- http://www.securityfocus.com/bid/94473
- http://www.securitytracker.com/id/1037347
- http://xenbits.xen.org/xsa/advisory-198.html
- http://xenbits.xen.org/xsa/xsa198.patch
- https://security.gentoo.org/glsa/201612-56
- https://support.citrix.com/article/CTX218775
Products affected by CVE-2016-9380
-
cpe:2.3:a:citrix:xenserver:6.0.2
-
cpe:2.3:a:citrix:xenserver:6.2.0
-
cpe:2.3:a:citrix:xenserver:6.5
-
cpe:2.3:a:citrix:xenserver:7.0
-
cpe:2.3:o:xen:xen:-
-
cpe:2.3:o:xen:xen:14.4
-
cpe:2.3:o:xen:xen:3.0.2
-
cpe:2.3:o:xen:xen:3.0.3
-
cpe:2.3:o:xen:xen:3.0.4
-
cpe:2.3:o:xen:xen:3.1.3
-
cpe:2.3:o:xen:xen:3.1.4
-
cpe:2.3:o:xen:xen:3.2.0
-
cpe:2.3:o:xen:xen:3.2.1
-
cpe:2.3:o:xen:xen:3.2.2
-
cpe:2.3:o:xen:xen:3.2.3
-
cpe:2.3:o:xen:xen:3.3.0
-
cpe:2.3:o:xen:xen:3.3.1
-
cpe:2.3:o:xen:xen:3.3.2
-
cpe:2.3:o:xen:xen:3.4.0
-
cpe:2.3:o:xen:xen:3.4.1
-
cpe:2.3:o:xen:xen:3.4.2
-
cpe:2.3:o:xen:xen:3.4.3
-
cpe:2.3:o:xen:xen:3.4.4
-
cpe:2.3:o:xen:xen:4.0.0
-
cpe:2.3:o:xen:xen:4.0.1
-
cpe:2.3:o:xen:xen:4.0.2
-
cpe:2.3:o:xen:xen:4.0.3
-
cpe:2.3:o:xen:xen:4.0.4
-
cpe:2.3:o:xen:xen:4.1.0
-
cpe:2.3:o:xen:xen:4.1.1
-
cpe:2.3:o:xen:xen:4.1.2
-
cpe:2.3:o:xen:xen:4.1.3
-
cpe:2.3:o:xen:xen:4.1.4
-
cpe:2.3:o:xen:xen:4.1.5
-
cpe:2.3:o:xen:xen:4.1.6
-
cpe:2.3:o:xen:xen:4.1.6.1
-
cpe:2.3:o:xen:xen:4.10.0
-
cpe:2.3:o:xen:xen:4.10.1
-
cpe:2.3:o:xen:xen:4.10.2
-
cpe:2.3:o:xen:xen:4.10.3
-
cpe:2.3:o:xen:xen:4.10.4
-
cpe:2.3:o:xen:xen:4.11.0
-
cpe:2.3:o:xen:xen:4.11.1
-
cpe:2.3:o:xen:xen:4.11.2
-
cpe:2.3:o:xen:xen:4.11.3
-
cpe:2.3:o:xen:xen:4.11.4
-
cpe:2.3:o:xen:xen:4.12.0
-
cpe:2.3:o:xen:xen:4.12.1
-
cpe:2.3:o:xen:xen:4.12.2
-
cpe:2.3:o:xen:xen:4.12.3
-
cpe:2.3:o:xen:xen:4.12.4
-
cpe:2.3:o:xen:xen:4.13.0
-
cpe:2.3:o:xen:xen:4.13.1
-
cpe:2.3:o:xen:xen:4.13.2
-
cpe:2.3:o:xen:xen:4.13.3
-
cpe:2.3:o:xen:xen:4.13.4
-
cpe:2.3:o:xen:xen:4.14.0
-
cpe:2.3:o:xen:xen:4.14.1
-
cpe:2.3:o:xen:xen:4.14.3
-
cpe:2.3:o:xen:xen:4.15.0
-
cpe:2.3:o:xen:xen:4.15.1
-
cpe:2.3:o:xen:xen:4.16
-
cpe:2.3:o:xen:xen:4.16.0
-
cpe:2.3:o:xen:xen:4.17
-
cpe:2.3:o:xen:xen:4.17.0
-
cpe:2.3:o:xen:xen:4.2.0
-
cpe:2.3:o:xen:xen:4.2.1
-
cpe:2.3:o:xen:xen:4.2.2
-
cpe:2.3:o:xen:xen:4.2.3
-
cpe:2.3:o:xen:xen:4.2.4
-
cpe:2.3:o:xen:xen:4.2.5
-
cpe:2.3:o:xen:xen:4.3.0
-
cpe:2.3:o:xen:xen:4.3.1
-
cpe:2.3:o:xen:xen:4.3.2
-
cpe:2.3:o:xen:xen:4.3.3
-
cpe:2.3:o:xen:xen:4.3.4
-
cpe:2.3:o:xen:xen:4.4.0
-
cpe:2.3:o:xen:xen:4.4.1
-
cpe:2.3:o:xen:xen:4.4.2
-
cpe:2.3:o:xen:xen:4.4.3
-
cpe:2.3:o:xen:xen:4.4.4
-
cpe:2.3:o:xen:xen:4.5.0
-
cpe:2.3:o:xen:xen:4.5.1
-
cpe:2.3:o:xen:xen:4.5.2
-
cpe:2.3:o:xen:xen:4.5.3
-
cpe:2.3:o:xen:xen:4.5.4
-
cpe:2.3:o:xen:xen:4.5.5
-
cpe:2.3:o:xen:xen:4.6.0
-
cpe:2.3:o:xen:xen:4.6.1
-
cpe:2.3:o:xen:xen:4.6.2
-
cpe:2.3:o:xen:xen:4.6.3
-
cpe:2.3:o:xen:xen:4.6.4
-
cpe:2.3:o:xen:xen:4.6.5
-
cpe:2.3:o:xen:xen:4.6.6
-
cpe:2.3:o:xen:xen:4.7.0
-
cpe:2.3:o:xen:xen:4.7.1
-
cpe:2.3:o:xen:xen:4.7.2
-
cpe:2.3:o:xen:xen:4.7.3
-
cpe:2.3:o:xen:xen:4.7.4
-
cpe:2.3:o:xen:xen:4.7.5
-
cpe:2.3:o:xen:xen:4.7.6
-
cpe:2.3:o:xen:xen:4.8.0
-
cpe:2.3:o:xen:xen:4.8.1
-
cpe:2.3:o:xen:xen:4.8.2
-
cpe:2.3:o:xen:xen:4.8.3
-
cpe:2.3:o:xen:xen:4.8.4
-
cpe:2.3:o:xen:xen:4.8.5
-
cpe:2.3:o:xen:xen:4.9.0
-
cpe:2.3:o:xen:xen:4.9.1
-
cpe:2.3:o:xen:xen:4.9.2
-
cpe:2.3:o:xen:xen:4.9.3
-
cpe:2.3:o:xen:xen:4.9.4