Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu PlotAI
10 marca 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-1497
Data publikacji 10 marca 2025
Producent podatnego oprogramowania MLJAR
Nazwa podatnego oprogramowania PlotAI
Podatne wersje Wszystkie do 0.0.6 włącznie
Typ podatności (CWE) Improper Neutralization of Special Elements used in a Command ('Command Injection') (CWE-77)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu PlotAI i koordynował proces ujawniania informacji.

CVE-2025-1497: Brak walidacji wyjścia wygenerowanego przez Duży Model Językowy (LLM) pozwala atakującemu na wykonanie dowolnego kodu języka Python. Producent zakomentował podatną linię, dalsze korzystanie z oprogramowania wymaga odkomentowania jej, co wiąże się z akceptacją ryzyka. Producent nie planuje tworzyć aktualizacji usuwającej tę podatność.

Podziękowania

Za zgłoszenie podatności dziękujemy Erykowi Winiarzowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.