I pakethanteraren identifieras (CVE-2019-18192), vilket gör att kod kan exekveras i en annan användares sammanhang. Problemet uppstår i Guix-konfigurationer för flera användare och orsakas av felaktig inställning av åtkomsträttigheter till systemkatalogen med användarprofiler.
Som standard är ~/.guix-profiler användarprofiler definierade som symboliska länkar till katalogen /var/guix/profiles/per-user/$USER. Problemet är att behörigheterna i katalogen /var/guix/profiles/per-user/ tillåter alla användare att skapa nya underkataloger. En angripare kan skapa en katalog för en annan användare som ännu inte har loggat in och ordna så att hans kod körs (/var/guix/profiles/per-user/$USER finns i PATH-variabeln, och angriparen kan placera körbara filer i den här katalogen som kommer att köras medan offret körs istället för systemkörbara filer).
Källa: opennet.ru