Paketų tvarkyklėje nustatyta (CVE-2019-18192), leidžianti vykdyti kodą kito vartotojo kontekste. Problema kyla kelių naudotojų „Guix“ konfigūracijose ir kyla dėl neteisingai nustatytų prieigos teisių prie sistemos katalogo su vartotojų profiliais.
Pagal numatytuosius nustatymus ~/.guix-profile vartotojų profiliai apibrėžiami kaip simbolinės nuorodos į /var/guix/profiles/per-user/$USER katalogą. Problema ta, kad leidimai kataloge /var/guix/profiles/per-user/ leidžia bet kuriam vartotojui kurti naujus pakatalogius. Užpuolikas gali sukurti katalogą kitam dar neprisijungusiam vartotojui ir pasirūpinti, kad jo kodas būtų paleistas (/var/guix/profiles/per-user/$USER yra PATH kintamajame, o užpuolikas gali įdėti vykdomuosius failus šiame kataloge, kuris bus vykdomas, kol auka veikia, o ne sistemos vykdomieji failai).
Šaltinis: opennet.ru