CVE-2026-53359, auch „Januscape“ genannt, ist eine Guest-to-Host-Schwachstelle im KVM-Hypervisor des Linux-Kernels. Betroffen ist der Shadow-MMU-Code. Laut Hyunwoo Kim (@v4bel), der den Fehler entdeckte, handelt es sich um eine Use-after-free-Schwachstelle, die sich aus einer virtuellen Maschine heraus auslösen lässt, um den Zustand der Shadow-Seiten des Host-Kernels zu korrumpieren.
Gelingt die Ausnutzung, kann dies nach Kims Angaben zur vollständigen Kompromittierung des Hosts führen, auf dem die virtuelle Maschine läuft. Der Forscher beschreibt zwei beispielhafte Folgen: Ein Angreifer mit nur einer gemieteten Instanz in einer Public Cloud könnte den Host-Kernel zum Absturz bringen und damit alle anderen Mandanten-VMs auf derselben physischen Maschine außer Betrieb setzen, oder er könnte mit Root-Rechten Code auf dem Host ausführen und so den Host und sämtliche darauf laufenden Gastsysteme übernehmen.
Als besonders kritisch stuft Kim die Lücke für Multi-Tenant-x86-Public-Clouds ein, die nicht vertrauenswürdige Gastsysteme ausführen und Nested Virtualization bereitstellen. Nach seinen Angaben ist Januscape der erste bekannte KVM-Exploit, der sich sowohl auf Intel- als auch auf AMD-Systemen triggern lässt.
Auf bestimmten Linux-Distributionen wie Red Hat Enterprise Linux (RHEL) kann der Sicherheitsfehler laut dem Forscher zudem von nicht privilegierten Benutzern genutzt werden, um ihre Rechte bis auf Root-Ebene zu erweitern. Für die Ausnutzung von Januscape selbst sind Root-Rechte innerhalb des Gastsystems erforderlich. Kim weist jedoch darauf hin, dass dieser Zugriff in Public-Cloud-VM-Instanzen typischerweise standardmäßig verfügbar ist. Falls kein Root-Zugang vorliegt, könne ein Angreifer den Fehler mit einer Privilegienerweiterung wie Dirty Frag verketten.
Entdeckt wurde die Schwachstelle von Hyunwoo Kim, der sie als Zero-Day in Googles kvmCTF demonstrierte. Das Programm ist als Capture-the-Flag-Wettbewerb organisiert und zahlt für vollständige VM-Escape-Schwachstellen bis zu 250.000 US-Dollar.
Nach Angaben im Bericht blieb CVE-2026-53359 16 Jahre lang unentdeckt im Linux-Kernel. Der Fix wurde im Mainline-Zweig am 19. Juni eingespielt, als der Commit 81ccda30b4e8 zusammengeführt wurde.
