En la pakaĵadministrilo identigita (CVE-2019-18192), kiu permesas kodon esti efektivigita en la kunteksto de alia uzanto. La problemo okazas en pluruzantaj Guix-agordoj kaj estas kaŭzita de malĝuste fiksado de alirrajtoj al la sistema dosierujo kun uzantprofiloj.
Defaŭlte, ~/.guix-profile uzantprofiloj estas difinitaj kiel simbolaj ligiloj al la dosierujo /var/guix/profiles/per-user/$USER. La problemo estas, ke la permesoj en la dosierujo /var/guix/profiles/per-user/ permesas al iu ajn uzanto krei novajn subdosierujojn. Atakanto povas krei dosierujon por alia uzanto kiu ankoraŭ ne ensalutis kaj aranĝi ke sia kodo ruliĝu (/var/guix/profiles/per-user/$USER ĉeestas en la variablo PATH, kaj la atakanto povas meti ruleblajn dosierojn. en ĉi tiu dosierujo kiu estos ekzekutita dum la viktimo funkcias anstataŭ sistemaj plenumeblaj dosieroj).
fonto: opennet.ru