La vulnerabilidad Januscape pone en jaque a los mayores centros de datos del mundo.

La máquina virtual debe mantenerse aislada del servidor físico, pero un error en Linux KVM permitía que el sistema invitado violara esa barrera y afectara al kernel del anfitrión. La vulnerabilidad Januscape, registrada como CVE-2026-53359, estuvo presente en el código durante unos 16 años y afectaba a sistemas x86 con procesadores Intel y AMD.
El problema residía en el mecanismo de tablas de sombras de memoria que KVM utiliza en la virtualización anidada. El hipervisor buscaba una página para reutilizar solo por la dirección y no comprobaba su propósito. Como resultado, KVM podía tomar una página de otro tipo, romper enlaces internos y empezar a operar con memoria ya liberada.
La demostración pública provoca una detención de emergencia del kernel del anfitrión. Una máquina invitada con privilegios root puede dejar fuera de servicio el servidor físico y, con él, las demás máquinas virtuales. El autor del hallazgo, Hyunwoo Kim, también informó sobre una variante cerrada del ataque que ejecuta código con privilegios root en el anfitrión. El código en sí no se ha publicado, por lo que la demostración pública confirmada solo muestra una denegación de servicio.
Para realizar el ataque se requieren privilegios root dentro del sistema invitado y la virtualización anidada habilitada. No es necesaria la interacción con QEMU u otro componente de espacio de usuario, ya que el error reside completamente en el kernel de KVM. Están en mayor riesgo los servidores donde se permite a clientes no confiables ejecutar sus propias máquinas virtuales con virtualización anidada.
La corrección se incorporó a la rama principal de Linux el 19 de junio de 2026. Los desarrolladores añadieron una comprobación del rol de la página para que KVM la reutilice solo cuando coincidan la dirección y el propósito. Los kernels estables corregidos 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 y 5.10.260 se publicaron el 4 de julio.
Se recomienda a los administradores de hosts x86 con KVM que revisen el registro de cambios del paquete y se aseguren de que la distribución haya incluido la corrección del commit 81ccda30b4e8. Si no es posible actualizar el kernel por ahora, debe deshabilitarse la virtualización anidada con el parámetro kvm_intel.nested=0 o kvm_amd.nested=0. Los sistemas ARM64 no se ven afectados por la vulnerabilidad Januscape.