Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu PlotAI i koordynował proces ujawniania informacji.
CVE-2025-1497: Brak walidacji wyjścia wygenerowanego przez Duży Model Językowy (LLM) pozwala atakującemu na wykonanie dowolnego kodu języka Python. Producent zakomentował podatną linię, dalsze korzystanie z systemu wymaga odkomentowania jej, co wiąże się z akceptacją ryzyka. Producent nie planuje tworzyć aktualizacji usuwającej tę podatność.
Podziękowania
Za zgłoszenie podatności dziękujemy Erykowi Winiarzowi.
![Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]](https://sekurak.pl/wp-content/uploads/2025/11/Zrzut-ekranu-2025-11-7-o-13.55.14.png)
