No xestor de paquetes identificado (CVE-2019-18192), que permite executar código no contexto doutro usuario. O problema prodúcese en configuracións multiusuario de Guix e é causado pola configuración incorrecta dos dereitos de acceso ao directorio do sistema con perfís de usuario.
Por defecto, os perfís de usuario ~/.guix-profile defínense como ligazóns simbólicas ao directorio /var/guix/profiles/per-user/$USER. O problema é que os permisos do directorio /var/guix/profiles/per-user/ permiten a calquera usuario crear novos subdirectorios. Un atacante pode crear un directorio para outro usuario que aínda non iniciou sesión e organizar a execución do seu código (/var/guix/profiles/per-user/$USER está presente na variable PATH e o atacante pode colocar ficheiros executables neste directorio que se executará mentres a vítima estea executando en lugar dos ficheiros executables do sistema).
Fonte: opennet.ru