В популярном сервере figma-developer-mcp (Model Context Protocol, MCP) исправлена критически важная проблема безопасности, позволявшая удаленно выполнять произвольный код. Уязвимость CVE-2025-53967 получила оценку 7,5 по CVSS и затрагивала цепочку обработки запросов к Figma API. По данным Imperva, дефект проявлялся в механизмe резервного обращения к API и мог использоваться для командной инъекции, что особенно опасно в условиях интеграции MCP с AI-агентами, такими как Cursor.
Что произошло: командная инъекция в fallback-механизме
Исследование Imperva показало, что уязвимость коренилась в формировании системных команд при неудаче стандартного HTTP-запроса. В файле src/utils/fetch-with-retry.ts при сбое fetch сервер вызывал curl через child_process.exec, напрямую подставляя непроверенные пользовательские данные в командную строку. Такой подход открывает путь к внедрению метасимволов оболочки (|, >, && и др.) и влечет удаленное выполнение кода (RCE) с привилегиями процесса.
Как работает уязвимость
Сценарий прост: при ошибке обращения к Figma API активируется fallback, который строит shell-команду с параметрами, контролируемыми пользователем. Отсутствие экранирования и валидации позволяет инжектировать дополнительные команды. Класс проблемы соответствует Command Injection (CWE-78), а итог — выполнение произвольных инструкций на целевой машине.
Векторы атаки: локальная сеть и DNS rebinding
По оценке Imperva, злоумышленник, находящийся в той же сети с жертвой (например, в общественном Wi‑Fi или в скомпрометированной корпоративной среде), может отправить серию специально сформированных запросов к уязвимому MCP и добиться RCE. Дополнительно возможна атака DNS rebinding, когда жертву убеждают перейти на подготовленный сайт, переназначающий доменные имена на локальные адреса. В контексте Framelink Figma MCP это усиливается угрозой косвенной промпт‑инъекции: AI-агента можно подтолкнуть к выполнению нежелательных действий, расширяя поверхность атаки и повышая риск утечки данных.
Статус исправления и технические рекомендации
Уязвимость устранена в figma-developer-mcp версии 0.6.3, выпущенной 29 сентября 2025 года. Разработчикам настоятельно рекомендуется незамедлительно обновиться. Ключевая инженерная мера — отказаться от child_process.exec с недоверенным вводом и использовать child_process.execFile, который запускает исполняемый файл без интерпретации shell и существенно снижает риск инъекций.
Дополнительные меры снижения риска включают: строгую валидацию и нормализацию входных данных; минимизацию прав учетных записей, под которыми выполняется MCP; ограничение сетевого доступа (локальный брандмауэр, allowlist источников); контроль доверенных доменов для предотвращения DNS rebinding; аудит fallback‑механизмов и явное логирование ошибок без перехода к небезопасным обходным путям.
Почему это важно для экосистемы AI-инструментов
Инцидент подчеркивает архитектурные риски в инструментах для разработчиков, тесно связанных с ИИ. Локальные сервисы, которые воспринимаются как безопасные по умолчанию, все чаще становятся точкой входа для атакующих. Как отмечают специалисты, «безопасность должна идти в ногу с инновациями»: автоматизация задач через AI‑агентов расширяет границы доверенной среды, а любые уязвимости в цепочке интеграции (MCP, плагины, fallback‑логика) могут привести к компрометации проекта и утечке чувствительных данных.
Практический вывод: обновите figma-developer-mcp до версии 0.6.3 или новее, отключите опасные fallback‑вызовы, переведите запуск внешних утилит на execFile, внедрите верификацию входных данных и мониторинг сетевой активности. Комбинация технологических и организационных мер — лучший способ снизить вероятность эксплуатации CVE-2025-53967 и укрепить устойчивость вашей среды разработки.
