Все программы имеют ошибки. Вы указываете на две указанные c ошибки, которые были обнаружены в 2018 году, о которых сообщалось в системе отслеживания ошибок проекта и были исправлены в первом последующем выпуске программы. В обоих случаях ошибки были типа «вы могли взломать sh эту программу, если вы дадите ей определенные неправильно сформированные команды». Эти конкретные ошибки больше не существуют в текущих версиях программы, так как они были зарегистрированы и исправлены. Но другие ошибки такого рода, вероятно, существуют в gnuplot и в каждой программе, работающей на вашем компьютере. Это жизнь в несовершенном мире.
Другими словами, вы или политика безопасности вашего работодателя должны решить, действительно ли это проблема, что «эта программа может взломать sh, если вы загрузите ее мусором».
Более реалистичная c проблема в том, что gnuplot - это, по сути, язык сценариев. Он может читать и записывать любые файлы, к которым у пользователя есть права доступа. Если вы запустите скрипт gnuplot, полученный из вредоносного источника, он может перезаписать ваши файлы или выдать вредные команды вашей системе. Это то же самое, что и при загрузке и выполнении файла *.com или *.exe или сценария python любой другой серии команд, предоставленных вредоносным источником. На самом деле это не обвинение программы, а лишь слабая практика безопасности со стороны пользователя.