في مدير الحزم المحددة (CVE-2019-18192)، والذي يسمح بتنفيذ التعليمات البرمجية في سياق مستخدم آخر. تحدث المشكلة في تكوينات Guix متعددة المستخدمين وينتج ذلك عن تعيين حقوق الوصول بشكل غير صحيح إلى دليل النظام مع ملفات تعريف المستخدمين.
افتراضيًا، يتم تعريف ملفات تعريف المستخدم ~/.guix-profile على أنها روابط رمزية إلى الدليل /var/guix/profiles/per-user/$USER. المشكلة هي أن الأذونات الموجودة على الدليل /var/guix/profiles/per-user/ تسمح لأي مستخدم بإنشاء أدلة فرعية جديدة. يمكن للمهاجم إنشاء دليل لمستخدم آخر لم يسجل الدخول بعد وترتيب تشغيل الكود الخاص به (/var/guix/profiles/per-user/$USER موجود في متغير PATH، ويمكن للمهاجم وضع ملفات قابلة للتنفيذ في هذا الدليل الذي سيتم تنفيذه أثناء تشغيل الضحية بدلاً من ملفات النظام القابلة للتنفيذ).
المصدر: opennet.ru