Í pakkastjóranum greind (CVE-2019-18192), sem gerir kleift að keyra kóða í samhengi annars notanda. Vandamálið kemur upp í Guix stillingum fyrir marga notendur og stafar af rangri stillingu aðgangsréttinda að kerfisskránni með notendasniðum.
Sjálfgefið er að ~/.guix-profile notendasnið eru skilgreind sem táknrænir tenglar á /var/guix/profiles/per-user/$USER möppuna. Vandamálið er að heimildirnar á /var/guix/profiles/per-user/ skránni leyfa hvaða notanda sem er að búa til nýjar undirmöppur. Árásarmaður getur búið til möppu fyrir annan notanda sem hefur ekki enn skráð sig inn og séð til þess að kóðinn hans gangi (/var/guix/profiles/per-user/$USER er til staðar í PATH breytunni og árásarmaðurinn getur sett keyrsluskrár í þessari möppu sem verður keyrð á meðan fórnarlambið er í gangi í stað keyranlegra kerfisskráa).
Heimild: opennet.ru