U upravitelju paketa identificiran (CVE-2019-18192), koji omogućuje izvršavanje koda u kontekstu drugog korisnika. Problem se javlja u višekorisničkim Guix konfiguracijama, a uzrokovan je neispravnim postavljanjem prava pristupa sistemskom direktoriju s korisničkim profilima.
Prema zadanim postavkama, ~/.guix-profile korisnički profili su definirani kao simboličke veze na direktorij /var/guix/profiles/per-user/$USER. Problem je u tome što dopuštenja za direktorij /var/guix/profiles/per-user/ dopuštaju svakom korisniku stvaranje novih poddirektorija. Napadač može stvoriti direktorij za drugog korisnika koji se još nije prijavio i organizirati pokretanje njegovog koda (/var/guix/profiles/per-user/$USER je prisutan u varijabli PATH, a napadač može postaviti izvršne datoteke u ovom direktoriju koji će se izvršavati dok žrtva radi umjesto izvršnih datoteka sustava).
Izvor: opennet.ru