در مدیر بسته شناخته شده است (CVE-2019-18192)، که اجازه می دهد کد در زمینه کاربر دیگری اجرا شود. مشکل در تنظیمات چند کاربره Guix رخ می دهد و به دلیل تنظیم نادرست حقوق دسترسی به فهرست سیستم با نمایه های کاربر ایجاد می شود.
به طور پیشفرض، پروفایلهای کاربر ~/.guix-profile به عنوان پیوندهای نمادین به فهرست /var/guix/profiles/per-user/$USER تعریف میشوند. مشکل این است که مجوزهای موجود در فهرست /var/guix/profiles/per-user/ به هر کاربری اجازه میدهد تا زیر شاخههای جدیدی ایجاد کند. مهاجم می تواند برای کاربر دیگری که هنوز وارد نشده است دایرکتوری ایجاد کند و ترتیبی دهد که کد او اجرا شود (/var/guix/profiles/per-user/$USER در متغیر PATH وجود دارد و مهاجم می تواند فایل های اجرایی را قرار دهد. در این دایرکتوری که در حالی که قربانی به جای فایل های اجرایی سیستم در حال اجرا است اجرا می شود).
منبع: opennet.ru