In u gestore di pacchetti identificatu (CVE-2019-18192), chì permette à u codice per esse eseguitu in u cuntestu di un altru utilizatore. U prublema si trova in cunfigurazioni multi-utilizatori Guix è hè causatu da l'impurtanza di i diritti d'accessu à u cartulare di u sistema cù i profili d'utilizatori.
Per automaticamente, i profili d'utilizatori ~/.guix-profile sò definiti cum'è ligami simbolichi à u repertoriu /var/guix/profiles/per-user/$USER. U prublema hè chì i permessi nantu à u cartulare /var/guix/profiles/per-user/ permettenu à qualsiasi utilizatore per creà novi subdirectorii. Un attaccu pò creà un repertoriu per un altru utilizatore chì ùn hà micca ancu cunnessu è organizà u so codice per esse esecutatu (/var/guix/profiles/per-user/$USER hè presente in a variabile PATH, è l'attaccante pò mette i fugliali eseguibili). in questu repertoriu chì serà eseguitu mentre a vittima hè in esecuzione invece di i schedarii eseguibili di u sistema).
Source: opennet.ru