El investigador de seguridad Hyunwoo Kim ha revelado la vulnerabilidad Januscape (CVE-2026-53359) en KVM/x86. Se trata de un fallo de uso después de liberación en la emulación de la MMU sombra que permite a un invitado escapar al anfitrión tanto en sistemas Intel como AMD, convirtiéndose en el primer exploit de escape de KVM que funciona en ambas arquitecturas. El error, presente durante 16 años, fue corregido en junio de 2026. Ya se utilizó con éxito como día cero en la competición kvmCTF de Google. El exploit puede causar denegación de servicio o ejecución remota de código en el anfitrión, amenazando nubes públicas multiinquilino como GCP y AWS. Además, en distribuciones con /dev/kvm accesible para todos, usuarios sin privilegios pueden escalar a root. El investigador publicó una prueba de concepto que provoca un pánico del kernel. El exploit completo de escape aún no está disponible.
