V upravitelju paketov ugotovljeno (CVE-2019-18192), ki omogoča izvajanje kode v kontekstu drugega uporabnika. Težava se pojavi v večuporabniških konfiguracijah Guix in je posledica nepravilne nastavitve pravic dostopa do sistemskega imenika z uporabniškimi profili.
Privzeto so uporabniški profili ~/.guix-profile definirani kot simbolične povezave do imenika /var/guix/profiles/per-user/$USER. Težava je v tem, da dovoljenja za imenik /var/guix/profiles/per-user/ omogočajo kateremu koli uporabniku ustvarjanje novih podimenikov. Napadalec lahko ustvari imenik za drugega uporabnika, ki se še ni prijavil, in poskrbi za izvajanje njegove kode (/var/guix/profiles/per-user/$USER je prisoten v spremenljivki PATH in napadalec lahko postavi izvedljive datoteke v tem imeniku, ki se bodo izvajale med izvajanjem žrtve namesto sistemskih izvedljivih datotek).
Vir: opennet.ru