Пакет менеджерінде анықталды (CVE-2019-18192), ол кодты басқа пайдаланушының контекстінде орындауға мүмкіндік береді. Мәселе көп пайдаланушы Guix конфигурацияларында орын алады және пайдаланушы профильдері бар жүйелік каталогқа кіру құқықтарын дұрыс орнатудан туындайды.
Әдепкі бойынша, ~/.guix-профиль пайдаланушы профильдері /var/guix/profiles/per-user/$USER каталогына символдық сілтемелер ретінде анықталады. Мәселе мынада, /var/guix/profiles/per-user/ каталогындағы рұқсаттар кез келген пайдаланушыға жаңа ішкі каталогтарды жасауға мүмкіндік береді. Шабуылдаушы жүйеге әлі кірмеген басқа пайдаланушы үшін каталог жасай алады және оның кодын іске қосуды реттей алады (/var/guix/profiles/per-user/$USER PATH айнымалы мәнінде бар және шабуылдаушы орындалатын файлдарды орналастыра алады. Жүйенің орындалатын файлдарының орнына жәбірленуші жұмыс істеп тұрған кезде орындалатын осы каталогта).
Ақпарат көзі: opennet.ru