Në menaxherin e paketës identifikuar (CVE-2019-18192), i cili lejon që kodi të ekzekutohet në kontekstin e një përdoruesi tjetër. Problemi shfaqet në konfigurimet e Guix me shumë përdorues dhe shkaktohet nga vendosja e gabuar e të drejtave të hyrjes në drejtorinë e sistemit me profilet e përdoruesve.
Si parazgjedhje, profilet e përdoruesve ~/.guix-profile përcaktohen si lidhje simbolike në drejtorinë /var/guix/profiles/per-user/$USER. Problemi është se lejet në drejtorinë /var/guix/profiles/per-user/ lejojnë çdo përdorues të krijojë nëndrejtori të reja. Një sulmues mund të krijojë një direktori për një përdorues tjetër që nuk është identifikuar ende dhe të organizojë ekzekutimin e kodit të tij (/var/guix/profiles/per-user/$USER është i pranishëm në variablin PATH dhe sulmuesi mund të vendosë skedarë të ekzekutueshëm në këtë direktori që do të ekzekutohet ndërsa viktima është duke u ekzekutuar në vend të skedarëve të ekzekutueshëm të sistemit).
Burimi: opennet.ru