Dalam pengurus pakej dikenalpasti (CVE-2019-18192), yang membenarkan kod dilaksanakan dalam konteks pengguna lain. Masalah berlaku dalam konfigurasi Guix berbilang pengguna dan disebabkan oleh salah menetapkan hak akses kepada direktori sistem dengan profil pengguna.
Secara lalai, profil pengguna ~/.guix-profile ditakrifkan sebagai pautan simbolik ke direktori /var/guix/profiles/per-user/$USER. Masalahnya ialah keizinan pada direktori /var/guix/profiles/per-user/ membenarkan mana-mana pengguna mencipta subdirektori baharu. Penyerang boleh mencipta direktori untuk pengguna lain yang masih belum log masuk dan mengatur kodnya untuk dijalankan (/var/guix/profiles/per-user/$USER terdapat dalam pembolehubah PATH dan penyerang boleh meletakkan fail boleh laku dalam direktori ini yang akan dilaksanakan semasa mangsa sedang berjalan dan bukannya fail boleh laku sistem).
Sumber: opennet.ru