Pesquisadores de cibersegurança revelaram detalhes de uma vulnerabilidade já corrigida no servidor figma-developer-mcp Model Context Protocol (MCP), amplamente utilizado, que poderia permitir a execução remota de código por atacantes.
A falha, identificada como CVE-2025-53967 e com pontuação 7,5 no CVSS, é uma vulnerabilidade de command injection decorrente do uso de dados de entrada do usuário sem a devida sanitização. Isso permite o envio de comandos arbitrários ao sistema.
Segundo um alerta publicado no GitHub, "o servidor constrói e executa comandos shell diretamente a partir de entradas do usuário não validadas dentro de strings de linha de comando. Isso abre possibilidade para injeção de metacaracteres shell (|, >, &&, etc.). A exploração bem-sucedida pode levar à execução remota de código com privilégios do processo do servidor."
Como o servidor MCP da Framelink Figma oferece diversas ferramentas para operações dentro do Figma usando agentes de programação com inteligência artificial, como o Cursor, um invasor poderia manipular o cliente MCP para executar comandos indesejados por meio de uma injeção indireta de prompt.
A empresa de segurança Imperva, que identificou e reportou o problema em julho de 2025, classificou a vulnerabilidade como uma “falha de design” no mecanismo de fallback, capaz de permitir a execução remota completa de código e colocar em risco dados dos desenvolvedores.
O pesquisador Yohann Sillam explicou que o bug ocorre na construção da instrução de linha de comando usada para enviar requisições ao endpoint da API do Figma.
O processo de exploração envolve os seguintes passos:
1. O cliente MCP envia uma requisição Initialize ao endpoint MCP para obter um “mcp-session-id”, usado na comunicação subsequente.
2. Em seguida, o cliente envia um pedido JSONRPC ao servidor MCP com o método tools/call para utilizar ferramentas como get_figma_data ou download_figma_images.
O problema está principalmente no arquivo "src/utils/fetch-with-retry.ts", que primeiro tenta obter conteúdo via fetch API e, se fracassar, executa um comando curl por meio do child_process.exec — ação que introduz a vulnerabilidade de command injection.
Conforme destacou a Imperva, “o comando curl é montado interpolando diretamente valores de URL e cabeçalhos dentro de uma string shell. Um invasor pode criar uma URL ou cabeçalho malicioso que injete comandos arbitrários no shell, resultando em RCE na máquina hospedeira.”
Em uma prova de conceito, um atacante remoto na mesma rede (como uma rede Wi-Fi pública ou dispositivo corporativo comprometido) pode explorar a falha enviando uma sequência de requisições ao MCP vulnerável.
Outra possibilidade é enganar a vítima para acessar um site malicioso por meio de um ataque de DNS rebinding.
A vulnerabilidade foi corrigida na versão 0.6.3 do figma-developer-mcp, lançada em 29 de setembro de 2025.
A recomendação é evitar o uso de child_process.exec com entradas não confiáveis, substituindo pela função child_process.execFile, que elimina o risco de interpretação pelo shell.
“A medida que ferramentas de desenvolvimento impulsionadas por IA evoluem e ganham espaço, é fundamental que as práticas de segurança acompanhem esse ritmo de inovação”, alertou a empresa, controlada pela Thales.
“Esta falha é um lembrete claro de que até mesmo ferramentas que rodam localmente podem ser vetores de ataques poderosos.”
A divulgação ocorre pouco depois da FireTail revelar que o Google optou por não corrigir uma nova técnica de ‘ASCII smuggling’ no seu chatbot Gemini AI, que pode ser usada para burlar filtros de segurança e provocar respostas indesejadas.
Outros modelos de linguagem, como DeepSeek e Grok, também são vulneráveis.
“Esse tipo de falha é especialmente perigoso quando LLMs, como o Gemini, estão integrados em plataformas corporativas como o Google Workspace”, explicou a FireTail.
“A técnica permite falsificação automatizada de identidade e envenenamento sistemático de dados, transformando uma vulnerabilidade de interface em uma ameaça grave à segurança.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...