Sa manager ng package nakilala (CVE-2019-18192), na nagpapahintulot sa code na maisagawa sa konteksto ng isa pang user. Ang problema ay nangyayari sa multi-user na mga pagsasaayos ng Guix at sanhi ng hindi tamang pagtatakda ng mga karapatan sa pag-access sa direktoryo ng system na may mga profile ng user.
Bilang default, ang ~/.guix-profile na mga profile ng user ay tinukoy bilang simbolikong mga link sa /var/guix/profiles/per-user/$USER na direktoryo. Ang problema ay ang mga pahintulot sa /var/guix/profiles/per-user/ na direktoryo ay nagpapahintulot sa sinumang user na lumikha ng mga bagong subdirectory. Ang isang attacker ay maaaring lumikha ng isang direktoryo para sa isa pang user na hindi pa naka-log in at ayusin ang kanyang code na tumakbo (/var/guix/profiles/per-user/$USER ay nasa PATH variable, at ang attacker ay maaaring maglagay ng mga executable na file sa direktoryong ito na isasagawa habang tumatakbo ang biktima sa halip na mga file na maipapatupad ng system).
Pinagmulan: opennet.ru