一、 漏洞 CVE-2025-1497 基础信息
漏洞标题
PlotAI远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在PlotAI中发现了一个漏洞,可能导致远程代码执行(RCE)。由于缺乏对大语言模型生成输出的验证,攻击者可以执行任意Python代码。厂商已将漏洞代码行注释掉,进一步使用该软件需要取消注释,从而接受该风险。厂商暂不计划发布补丁来修复此漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Remote Code Execution in PlotAI
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability, that could result in Remote Code Execution (RCE), has been found in PlotAI. Lack of validation of LLM-generated output allows attacker to execute arbitrary Python code. Vendor commented out vulnerable line, further usage of the software requires uncommenting it and thus accepting the risk. The vendor does not plan to release a patch to fix this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1497 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1497 的情报信息

  • 标题: Podatność w oprogramowaniu PlotAI | CERT Polska -- 🔗来源链接

    标签: third-party-advisory

    Podatność w oprogramowaniu PlotAI | CERT Polska

  • 标题: Vulnerability in PlotAI software | CERT Polska -- 🔗来源链接

    标签: third-party-advisory

    Vulnerability in PlotAI software | CERT Polska

  • 标题: GitHub - mljar/plotai: PlotAI - Your Ultimate Plotting Assistant! 📊🤖 Use ChatGPT-3.5 to create plots in Python and Matplotlib directly in your Python script or notebook. -- 🔗来源链接

    标签: product

    GitHub - mljar/plotai: PlotAI - Your Ultimate Plotting Assistant! 📊🤖 Use ChatGPT-3.5 to create plots in Python and Matplotlib directly in your Python script or notebook.

  • 标题: comment out exec() method because of securith issues · mljar/plotai@bdcfb13 · GitHub -- 🔗来源链接

    标签: patch

    comment out exec() method because of securith issues · mljar/plotai@bdcfb13 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-1497