Στον διαχειριστή πακέτων αναγνωρισθείς (CVE-2019-18192), το οποίο επιτρέπει την εκτέλεση κώδικα στο πλαίσιο άλλου χρήστη. Το πρόβλημα παρουσιάζεται σε διαμορφώσεις Guix πολλών χρηστών και προκαλείται από εσφαλμένη ρύθμιση δικαιωμάτων πρόσβασης στον κατάλογο του συστήματος με προφίλ χρηστών.
Από προεπιλογή, τα προφίλ χρηστών ~/.guix-profile ορίζονται ως συμβολικοί σύνδεσμοι προς τον κατάλογο /var/guix/profiles/per-user/$USER. Το πρόβλημα είναι ότι τα δικαιώματα στον κατάλογο /var/guix/profiles/per-user/ επιτρέπουν σε κάθε χρήστη να δημιουργήσει νέους υποκαταλόγους. Ένας εισβολέας μπορεί να δημιουργήσει έναν κατάλογο για έναν άλλο χρήστη που δεν έχει ακόμη συνδεθεί και να κανονίσει την εκτέλεση του κώδικά του (/var/guix/profiles/per-user/$USER υπάρχει στη μεταβλητή PATH και ο εισβολέας μπορεί να τοποθετήσει εκτελέσιμα αρχεία σε αυτόν τον κατάλογο που θα εκτελεστεί ενώ το θύμα εκτελείται αντί για εκτελέσιμα αρχεία συστήματος).
Πηγή: opennet.ru