Paketinhallinnassa tunnistettu (CVE-2019-18192), joka sallii koodin suorittamisen toisen käyttäjän kontekstissa. Ongelma ilmenee usean käyttäjän Guix-kokoonpanoissa ja johtuu siitä, että käyttöoikeudet on asetettu väärin järjestelmähakemistoon käyttäjäprofiileilla.
Oletusarvoisesti ~/.guix-profile-käyttäjäprofiilit määritellään symbolisiksi linkeiksi /var/guix/profiles/per-user/$USER hakemistoon. Ongelmana on, että hakemiston /var/guix/profiles/per-user/ käyttöoikeudet sallivat jokaisen käyttäjän luoda uusia alihakemistoja. Hyökkääjä voi luoda hakemiston toiselle käyttäjälle, joka ei ole vielä kirjautunut sisään, ja järjestää hänen koodinsa suorittamisen (/var/guix/profiles/per-user/$USER on PATH-muuttujassa ja hyökkääjä voi sijoittaa suoritettavat tiedostot tässä hakemistossa, joka suoritetaan uhrin ollessa käynnissä järjestelmän suoritettavien tiedostojen sijaan).
Lähde: opennet.ru