I pakkehåndteringen identificeret (CVE-2019-18192), som gør det muligt at udføre kode i en anden brugers kontekst. Problemet opstår i flerbruger Guix-konfigurationer og er forårsaget af forkert indstilling af adgangsrettigheder til systembiblioteket med brugerprofiler.
Som standard er ~/.guix-profile brugerprofiler defineret som symbolske links til mappen /var/guix/profiles/per-user/$USER. Problemet er, at tilladelserne i mappen /var/guix/profiles/per-user/ tillader enhver bruger at oprette nye undermapper. En angriber kan oprette en mappe til en anden bruger, der endnu ikke er logget ind og sørge for, at hans kode kører (/var/guix/profiles/per-user/$USER er til stede i PATH-variablen, og angriberen kan placere eksekverbare filer i denne mappe, der vil blive udført, mens offeret kører i stedet for systemets eksekverbare filer).
Kilde: opennet.ru