A Xen Security Team a napokban bejelentette, hogy a Xen hypervisor paravirtualizált virtuális gépek (PV VMs) memóriavirtualizációját kezelő kódjában kritikus biztonsági hibát találtak (XSA-148). A rosszindulatú paravirtualizált (PV) guest adminisztrátorok a hiba sikeres kihasználása révén emelhetik privilégiumszintjüket és átvehetik az irányítást az egész rendszer felett. A hiba körülbelül 7 évvel ezelőtt, a Citrix alkalmazásában álló Keir Fraser "x86: PV support for hugepages" commit-je nyomán mutatkozott be. A sebezhetőség a Xen 3.4 és újabb verziókat érinti. Csak az x86 rendszerek sebezhetők, az ARM rendszerek nem. Csak a paravirtualizált guest rendszerek adminisztrátorai tudják kihasználni a sebezhetőséget. Mind a 32 bites, mind a 64 bites PV guest-ek képesek a hibát kihasználni.
A biztonságot mindenek felett szem előtt tartó, Xen-re építkező Qubes OS projekt is figyelmeztetőt (QSB-022-2015) adott ki a sebezhetőséggel kapcsolatban, amelyben néhány keresetlen szót ejtettek a Xen projekt fejlesztési, programozási irányelveivel kapcsolatban.