Dans le gestionnaire de paquets identifié (CVE-2019-18192), qui permet d'exécuter du code dans le contexte d'un autre utilisateur. Le problème se produit dans les configurations Guix multi-utilisateurs et est dû à une définition incorrecte des droits d'accès au répertoire système avec les profils utilisateur.
Par défaut, les profils utilisateur ~/.guix-profile sont définis comme des liens symboliques vers le répertoire /var/guix/profiles/per-user/$USER. Le problème est que les autorisations sur le répertoire /var/guix/profiles/per-user/ permettent à n'importe quel utilisateur de créer de nouveaux sous-répertoires. Un attaquant peut créer un répertoire pour un autre utilisateur qui n'est pas encore connecté et faire exécuter son code (/var/guix/profiles/per-user/$USER est présent dans la variable PATH, et l'attaquant peut placer des fichiers exécutables dans ce répertoire qui sera exécuté pendant que la victime est en cours d'exécution à la place des fichiers exécutables du système).
Source: opennet.ru