Di manajer paket diidentifikasi (CVE-2019-18192), yang memungkinkan kode dieksekusi dalam konteks pengguna lain. Masalah terjadi pada konfigurasi Guix multi-pengguna dan disebabkan oleh kesalahan pengaturan hak akses ke direktori sistem dengan profil pengguna.
Secara default, profil pengguna ~/.guix-profile didefinisikan sebagai tautan simbolis ke direktori /var/guix/profiles/per-user/$USER. Masalahnya adalah izin pada direktori /var/guix/profiles/per-user/ memungkinkan pengguna mana pun untuk membuat subdirektori baru. Seorang penyerang dapat membuat direktori untuk pengguna lain yang belum masuk dan mengatur agar kodenya dijalankan (/var/guix/profiles/per-user/$USER ada dalam variabel PATH, dan penyerang dapat menempatkan file yang dapat dieksekusi di direktori ini yang akan dieksekusi saat korban sedang berjalan, bukan file sistem yang dapat dieksekusi).
Sumber: opennet.ru