Im beliebten MCP-Server figma-developer-mcp wurde eine sicherheitskritische Schwachstelle geschlossen, die Remote Code Execution (RCE) erlaubte. Die Lücke CVE-2025-53967 wurde mit CVSS 7.5 als hoch eingestuft und betraf die Fehlerbehandlung in der Anfragekette zum Figma-API. Nach Analyse von Imperva führte ein unsicherer Fallback-Mechanismus zu Command Injection – mit besonderer Relevanz in Umgebungen, in denen MCP mit AI-Agenten wie Cursor integriert ist.
Command Injection im Fallback: Wie es zur RCE kam
Ursache der Lücke war ein Shell-basierter Rückgriff beim Scheitern von HTTP-Anfragen. In src/utils/fetch-with-retry.ts wechselte der Server nach einem fehlgeschlagenen fetch zu curl und rief dieses über child_process.exec auf. Dabei wurden Nutzereingaben ohne ausreichende Validierung direkt in die Kommandozeile eingefügt. Das ermöglicht das Einschleusen von Shell-Metazeichen wie |, >, && und führt in der Folge zu RCE mit den Rechten des MCP-Prozesses.
Technischer Ablauf der Ausnutzung
Beim Fehler im Zugriff auf das Figma-API aktivierte der Server einen Fallback, der eine Shell-Kommandozeile aus Benutzereingaben zusammenbaute. Da Escape-Mechanismen und Eingabevalidierung fehlten, konnten Angreifer zusätzliche Befehle injizieren. Der Befund entspricht CWE-78: Improper Neutralization of Special Elements used in an OS Command und illustriert ein klassisches Muster unsicherer Prozessaufrufe.
Angriffsvektoren: Lokale Netze und DNS Rebinding
Imperva bewertet das Risiko besonders hoch in gemeinsam genutzten Netzwerken (z. B. öffentlichem WLAN oder kompromittierten Unternehmenssegmenten), wo gezielte Anfragen an den verwundbaren MCP gestellt werden können. Zusätzlich kommt DNS Rebinding in Betracht: Nutzer werden auf eine präparierte Webseite gelockt, die Hostnamen dynamisch auf lokale Adressen abbildet, um interne Dienste anzusprechen. In Kombination mit AI-Agenten erhöht dies die Gefahr indirekter Prompt-Injection, wodurch Agenten zu unerwünschten Aktionen verleitet und sensible Daten exponiert werden könnten.
Patch-Status und empfohlene Gegenmaßnahmen
Die Schwachstelle wurde in figma-developer-mcp Version 0.6.3 am 29. September 2025 behoben. Ein sofortiges Update ist ratsam. Zentrale Korrekturmaßnahme ist der Wechsel von child_process.exec zu child_process.execFile, da execFile ohne Shell-Interpretation arbeitet und die Angriffsfläche für Command Injection deutlich reduziert.
Härtung in der Praxis
Organisationen sollten zusätzlich folgende Kontrollen implementieren: strikte Eingabevalidierung und Normalisierung; Least-Privilege für den MCP-Dienst; Netzwerksegmentierung und lokale Firewalls mit Allowlist; Beschränkung auf vertrauenswürdige Domains (gegen DNS Rebinding); Prüfung und Dokumentation aller Fallback-Pfade; aussagekräftiges Fehler- und Sicherheitslogging; sowie Überwachung durch EDR/SIEM. Wo möglich, sollten externe Tools über sichere APIs statt über Shell-Aufrufe eingebunden werden.
Einordnung für die AI-Entwicklungslandschaft
Der Vorfall zeigt, dass lokale Entwicklerdienste in AI-zentrierten Toolchains ein attraktiver Einstiegspunkt sind. Automatisierung und Agenten erweitern den Vertrauensbereich; Schwachstellen in Integrationskomponenten wie MCP, Plugins oder Fallback-Logik können zu Projektkompromittierungen führen. Leitlinien von OWASP zu Command Injection und die Definition von MITRE CWE-78 unterstreichen, dass Shell-basierte Aufrufe mit ungetesteten Eingaben zu den vermeidbaren Hochrisiko-Mustern gehören.
Handlungsempfehlung: Aktualisieren Sie figma-developer-mcp auf 0.6.3 oder höher, entfernen Sie riskante Fallbacks, migrieren Sie auf execFile, setzen Sie auf robuste Eingabevalidierung und überwachen Sie die Netzwerkaktivität. In AI-getriebenen Entwicklungsumgebungen gilt: „Sicherheit muss mit Innovation Schritt halten“ – eine Kombination aus technischen und organisatorischen Maßnahmen reduziert die Wahrscheinlichkeit der Ausnutzung von CVE-2025-53967 und stärkt die Resilienz Ihrer Toolchain.
