Փաթեթի կառավարիչում բացահայտված (CVE-2019-18192), որը թույլ է տալիս կոդը գործարկել մեկ այլ օգտվողի համատեքստում: Խնդիրն առաջանում է Guix-ի մի քանի օգտատերերի կոնֆիգուրացիաներում և առաջանում է օգտատերերի պրոֆիլներով համակարգի գրացուցակի մուտքի իրավունքի սխալ սահմանման պատճառով:
Լռելյայնորեն, ~/.guix-profile օգտվողի պրոֆիլները սահմանվում են որպես խորհրդանշական հղումներ դեպի /var/guix/profiles/per-user/$USER գրացուցակը: Խնդիրն այն է, որ /var/guix/profiles/per-user/ գրացուցակի թույլտվությունները թույլ են տալիս ցանկացած օգտվողի ստեղծել նոր ենթագրքեր: Հարձակվողը կարող է ստեղծել գրացուցակ մեկ այլ օգտատիրոջ համար, ով դեռ մուտք չի գործել, և կազմակերպել նրա կոդի գործարկումը (/var/guix/profiles/per-user/$USER առկա է PATH փոփոխականում, և հարձակվողը կարող է տեղադրել գործարկվող ֆայլեր: այս գրացուցակում, որը կկատարվի, երբ տուժողը աշխատում է համակարգի գործարկվող ֆայլերի փոխարեն):
Source: opennet.ru