- Автор темы
- #1
Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Model Context Protocol, MCP). Проблема позволяла атакующим удаленно выполнять произвольный код.
Уязвимость получила идентификатор CVE-2025-53967 (7,5 балла по шкале CVSS) и представляет собой проблему инъекции команд, возникающую из-за неэкранированного пользовательского ввода. В результате злоумышленники получают возможность отправлять произвольные системные команды.
Специалисты компании Imperva, обнаружившие эту уязвимость в июле 2025 года, охарактеризовали CVE-2025-53967 как «просчет в архитектуре» fallback-механизма, который позволял атакующим добиться удаленного выполнения кода и подвергал разработчиков риску утечки данных.
Как поясняют исследователи, ошибка возникает «в процессе формирования командной строки, используемой для отправки трафика на API-эндпоинт Figma.
Эксплуатация уязвимости происходит в несколько шагов:
В результате злоумышленник, находящийся в той же сети (например, в случае с общественным Wi-Fi или скомпрометированной корпоративной сетью), может использовать CVE-2025-53967, отправив серию запросов на уязвимый MCP. Кроме того, жертву можно вынудить перейти на специально созданный сайт в рамках атаки DNS rebinding.
Уязвимость была устранена в figma-developer-mcp версии 0.6.3, выпущенной 29 сентября 2025 года. Кроме того, для защиты от подобных атак рекомендуется избегать использования child_process.exec с недоверенным вводом и перейти на child_process.execFile.
Уязвимость получила идентификатор CVE-2025-53967 (7,5 балла по шкале CVSS) и представляет собой проблему инъекции команд, возникающую из-за неэкранированного пользовательского ввода. В результате злоумышленники получают возможность отправлять произвольные системные команды.
Так как Framelink Figma MCP предоставляет различные инструменты для работы с Figma через ИИ-агентов вроде Cursor, атакующий может обманом вынудить MCP-клиент выполнять нежелательные действия через косвенную промпт-инъекцию.
Специалисты компании Imperva, обнаружившие эту уязвимость в июле 2025 года, охарактеризовали CVE-2025-53967 как «просчет в архитектуре» fallback-механизма, который позволял атакующим добиться удаленного выполнения кода и подвергал разработчиков риску утечки данных.
Как поясняют исследователи, ошибка возникает «в процессе формирования командной строки, используемой для отправки трафика на API-эндпоинт Figma.
Эксплуатация уязвимости происходит в несколько шагов:
- MCP-клиент отправляет запрос Initialize на MCP-эндпоинт, чтобы получить идентификатор mcp-session-id, используемый для дальнейшего обмена с сервером.
- Клиент посылает JSONRPC-запрос с методом tools/call, чтобы вызвать инструменты вроде get_figma_data или download_figma_images.
В результате злоумышленник, находящийся в той же сети (например, в случае с общественным Wi-Fi или скомпрометированной корпоративной сетью), может использовать CVE-2025-53967, отправив серию запросов на уязвимый MCP. Кроме того, жертву можно вынудить перейти на специально созданный сайт в рамках атаки DNS rebinding.
Уязвимость была устранена в figma-developer-mcp версии 0.6.3, выпущенной 29 сентября 2025 года. Кроме того, для защиты от подобных атак рекомендуется избегать использования child_process.exec с недоверенным вводом и перейти на child_process.execFile.