Уязвимость Figma MCP позволяла удаленно выполнить произвольный код - «Новости»
- 14:30, 10-окт-2025
- Новости / Отступы и поля / Преимущества стилей / Вёрстка / Сайтостроение / Статьи об афоризмах / Изображения / Текст
- Attwood
- 0
Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Model Context Protocol, MCP). Проблема позволяла атакующим удаленно выполнять произвольный код.
Уязвимость получила идентификатор CVE-2025-53967 (7,5 балла по шкале CVSS) и представляет собой проблему инъекции команд, возникающую из-за неэкранированного пользовательского ввода. В результате злоумышленники получают возможность отправлять произвольные системные команды.
«Сервер формирует и выполняет шелл-команды, напрямую подставляя непроверенные пользовательские данные в командную строку. Это создает риск внедрения шелл-метасимволов (|, >, && и других), — говорится в описании бага на GitHub. — Успешная эксплуатация уязвимости может привести к удаленному выполнению кода с правами процесса».
Так как Framelink Figma MCP предоставляет различные инструменты для работы с Figma через ИИ-агентов вроде Cursor, атакующий может обманом вынудить MCP-клиент выполнять нежелательные действия через косвенную промпт-инъекцию.
Специалисты компании Imperva, обнаружившие эту уязвимость в июле 2025 года, охарактеризовали CVE-2025-53967 как «просчет в архитектуре» fallback-механизма, который позволял атакующим добиться удаленного выполнения кода и подвергал разработчиков риску утечки данных.
Как поясняют исследователи, ошибка возникает «в процессе формирования командной строки, используемой для отправки трафика на API-эндпоинт Figma.
Эксплуатация уязвимости происходит в несколько шагов:
- MCP-клиент отправляет запрос Initialize на MCP-эндпоинт, чтобы получить идентификатор mcp-session-id, используемый для дальнейшего обмена с сервером.
- Клиент посылает JSONRPC-запрос с методом tools/call, чтобы вызвать инструменты вроде get_figma_data или download_figma_images.
Проблема кроется в файле src/utils/fetch-with-retry.ts, где при сбое стандартного API-запроса fetch выполняется команда curl через child_process.exec, что открывает дорогу для инжектов и уязвимости внедрения команд.
В результате злоумышленник, находящийся в той же сети (например, в случае с общественным Wi-Fi или скомпрометированной корпоративной сетью), может использовать CVE-2025-53967, отправив серию запросов на уязвимый MCP. Кроме того, жертву можно вынудить перейти на специально созданный сайт в рамках атаки DNS rebinding.
Уязвимость была устранена в figma-developer-mcp версии 0.6.3, выпущенной 29 сентября 2025 года. Кроме того, для защиты от подобных атак рекомендуется избегать использования child_process.exec с недоверенным вводом и перейти на child_process.execFile.
«По мере того как ИИ-инструменты для разработки развиваются и получают все большее распространение, крайне важно, чтобы безопасность не отставала от инноваций, — отмечают специалисты. — Этот баг служит напоминанием о том, что даже локальные инструменты могут стать удобной точкой входа для атакующих».
Комментарии (0)