В компонентах систем виртуализации на базе гипервизора Xen выявлена серия уязвимостей. Целочисленное переполнение (CVE-2013-2194) в парсере формата ELF, используемого для загрузки ядер для гостевых систем, может быть использовано для организации выполнения кода на стороне хост-системы. Проблема проявляется только если гостевая система, работающая в режиме паравиртулизации (PV) имеет полномочия по указанию собственного ядра. Системы в которых использование ядер задаётся со стороны хост системы , проблеме не подвержены.

Вторая уязвимость вызвана ошибкой проверки прав доступа к консоли в библиотеке libxl (libxenlight), что позволяет организовать атаку, которая может привести к получению доступа к содержимому файлов на стороне хост-системы из гостевого окружения. Доступ может быть организован на запись и чтение, но с правами пользователя, под которым выполняется приложение xenconsole (вполне вероятно, что программа xenconsole будет запущена администратором, подключившимся к одной из гостевых систем). Для гостевых систем в режиме HVM кроме файлов злоумышленник может получить управление над сетевыми ресурсами в иерархии модели устройств QEMU, например, выполнить редирект порта VNC-консоли на другой порт для обхода блокировки межсетевого экрана.