Ve správci balíčků identifikované (CVE-2019-18192), který umožňuje spuštění kódu v kontextu jiného uživatele. Problém nastává ve víceuživatelských konfiguracích Guix a je způsoben nesprávným nastavením přístupových práv k systémovému adresáři s uživatelskými profily.
Ve výchozím nastavení jsou uživatelské profily ~/.guix-profile definovány jako symbolické odkazy na adresář /var/guix/profiles/per-user/$USER. Problém je v tom, že oprávnění v adresáři /var/guix/profiles/per-user/ umožňují každému uživateli vytvářet nové podadresáře. Útočník může vytvořit adresář pro jiného uživatele, který se ještě nepřihlásil, a zařídit spuštění jeho kódu (/var/guix/profiles/per-user/$USER je přítomen v proměnné PATH a útočník může umístit spustitelné soubory v tomto adresáři, který bude spuštěn za běhu oběti namísto systémových spustitelných souborů).
Zdroj: opennet.ru