Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad ahora parcheada en el popular servidor Figma-developer-mcp Model Context Protocol (MCP) que podría permitir a los atacantes conquistar la ejecución de código.
La vulnerabilidad, rastreada como CVE-2025-53967 (Puntuación CVSS: 7,5), es un error de inyección de comandos que surge del uso no calificado de la entrada del sucesor, lo que abre la puerta a un proscenio en el que un atacante puede despachar comandos arbitrarios del sistema.
«El servidor construye y ejecuta comandos de shell utilizando entradas de sucesor no validadas directamente interiormente de cadenas de trayecto de comandos. Esto introduce la posibilidad de inyección de metacaracteres de shell (|, >, &&, etc.)», según un aviso de GitHub sobre la defecto. «Una explotación exitosa puede conducir a la ejecución remota de código bajo los privilegios del proceso del servidor».
Cedido que el servidor Framelink Figma MCP expone varias herramientas para realizar operaciones en Figma utilizando agentes de codificación impulsados por inteligencia industrial (IA) como Cursor, un atacante podría engañar al cliente MCP para que ejecute acciones no deseadas mediante una inyección de aviso indirecta.
La empresa de ciberseguridad Imperva, que descubrió e informó el problema en julio de 2025, describió CVE-2025-53967 como un «descuido del diseño» en el mecanismo alterno que podría permitir a los delincuentes conquistar la ejecución remota completa del código, poniendo a los desarrolladores en aventura de exposición de datos.
La defecto de inyección de comando «ocurre durante la construcción de una instrucción de trayecto de comando utilizada para despachar tráfico al punto final API de Figma», dijo el investigador de seguridad Yohann Sillam.
La secuencia de explotacion se lleva a extremidad a traves de pasos:
- El cliente MCP envía una solicitud de inicialización al punto final de MCP para aceptar un mcp-session-id que se utiliza en la comunicación posterior con el servidor MCP.
- El cliente envía una solicitud JSONRPC al servidor MCP con el método herramientas/señal para emplazar a herramientas como get_figma_data o download_figma_images.
El problema, en esencia, reside en «src/utils/fetch-with-retry.ts», que primero intenta obtener contenido usando la API de recuperación típico y, si eso defecto, procede a ejecutar el comando curl a través de child_process.exec, lo que introduce la defecto de inyección de comando.
«Oportuno a que el comando curl se construye interpolando directamente los títulos de URL y encabezado en una condena de comando de shell, un actor malintencionado podría crear una URL o un valía de encabezado especialmente diseñado que inyecte comandos de shell arbitrarios», dijo Imperva. «Esto podría conducir a la ejecución remota de código (RCE) en la máquina host».
En un ataque de prueba de concepto, un mal actor remoto en la misma red (por ejemplo, una red Wi-Fi pública o un dispositivo corporativo comprometido) puede desencadenar la defecto enviando una serie de solicitudes al MCP inerme. Alternativamente, el atacante podría engañar a una víctima para que visite un sitio especialmente diseñado como parte de un ataque de revinculación de DNS.
La vulnerabilidad se solucionó en la interpretación 0.6.3 de figma-developer-mcp, que se lanzó el 29 de septiembre de 2025. Como mitigación, es recomendable evitar el uso de child_process.exec con entradas que no sean de confianza y cambiar a child_process.execFile que elimina el aventura de interpretación del shell.
«A medida que las herramientas de incremento impulsadas por IA continúan evolucionando y ganando acogida, es esencial que las consideraciones de seguridad sigan el ritmo de la innovación», afirmó la empresa propiedad de Thales. «Esta vulnerabilidad es un claro recordatorio de que incluso las herramientas destinadas a ejecutarse localmente pueden convertirse en poderosos puntos de entrada para los atacantes».
El incremento se produce cuando FireTail reveló que Google optó por no solucionar un nuevo ataque de contrabando ASCII en su chatbot Gemini AI que podría estilarse como arsenal para crear entradas que puedan escapar de los filtros de seguridad e inducir respuestas indeseables. Otros modelos de lenguajes grandes (LLM) susceptibles a este ataque son DeepSeek y Grok de xAI.
«Y esta defecto es particularmente peligrosa cuando los LLM, como Gemini, están profundamente integrados en plataformas empresariales como Google Workspace», dijo la compañía. «Esta técnica permite la suplantación de identidad automatizada y el envenenamiento sistemático de datos, convirtiendo una defecto de la interfaz de sucesor en una potencial pesadilla de seguridad».
