V správcovi balíkov identifikované (CVE-2019-18192), ktorý umožňuje spustenie kódu v kontexte iného používateľa. Problém sa vyskytuje vo viacužívateľských konfiguráciách Guix a je spôsobený nesprávnym nastavením prístupových práv do systémového adresára s používateľskými profilmi.
Štandardne sú užívateľské profily ~/.guix-profile definované ako symbolické odkazy na adresár /var/guix/profiles/per-user/$USER. Problém je v tom, že oprávnenia v adresári /var/guix/profiles/per-user/ umožňujú každému užívateľovi vytvárať nové podadresáre. Útočník môže vytvoriť adresár pre iného používateľa, ktorý sa ešte neprihlásil, a zariadiť spustenie jeho kódu (/var/guix/profiles/per-user/$USER je prítomný v premennej PATH a útočník môže umiestniť spustiteľné súbory v tomto adresári, ktorý bude spustený počas spustenia obete namiesto systémových spustiteľných súborov).
Zdroj: opennet.ru