U menadžeru paketa identifikovan (CVE-2019-18192), koji omogućava izvršavanje koda u kontekstu drugog korisnika. Problem se javlja u višekorisničkim Guix konfiguracijama i uzrokovan je nepravilnim postavljanjem prava pristupa sistemskom direktoriju s korisničkim profilima.
Po defaultu, ~/.guix-profile korisnički profili su definirani kao simboličke veze na /var/guix/profiles/per-user/$USER direktorij. Problem je u tome što dozvole na /var/guix/profiles/per-user/ direktoriju dozvoljavaju svakom korisniku da kreira nove poddirektorije. Napadač može kreirati direktorij za drugog korisnika koji se još nije prijavio i organizirati pokretanje njegovog koda (/var/guix/profiles/per-user/$USER je prisutan u varijabli PATH, a napadač može postaviti izvršne datoteke u ovom direktoriju koji će se izvršavati dok žrtva radi umjesto sistemskih izvršnih datoteka).
izvor: opennet.ru