Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad parcheada en el popular servidor Figma-developer-mcp Model Context Protocol (MCP). Esta vulnerabilidad podría permitir que un atacante ejecute código.
La vulnerabilidad, registrada como CVE-2025-53967 (puntuación CVSS: 7,5), es un error de inyección de comandos debido al uso no autorizado de la entrada del usuario, lo que abre la puerta a escenarios en los que un atacante puede enviar comandos arbitrarios del sistema.
Según el aviso de GitHub sobre esta falla, «El servidor construye y ejecuta comandos de shell utilizando entradas de usuario no validadas directamente dentro de la cadena de la línea de comando. Esto permite que se produzca la inserción de metacaracteres de shell (como |, >, &&).» «Un exploit exitoso podría permitir la ejecución remota de código con los privilegios del proceso del servidor».
Dado que el servidor Framelink Figma MCP expone una variedad de herramientas para realizar operaciones en Figma utilizando agentes de codificación impulsados por inteligencia artificial (IA), como cursores, un atacante podría engañar a un cliente MCP para que realice acciones no deseadas mediante una inyección indirecta.
La empresa de ciberseguridad Imperva, que descubrió e informó el problema en julio de 2025, describió CVE-2025-53967 como un «descuido del diseño» en el mecanismo de respaldo que podría permitir a actores maliciosos realizar una ejecución remota completa de código y poner a los desarrolladores en riesgo de fuga de datos.
La falla de inyección de comando «ocurre durante la construcción de las instrucciones de la línea de comando utilizadas para enviar tráfico al punto final de Figma API», dijo el investigador de seguridad Yohann Sillam.
La secuencia de explotación se lleva a cabo en las siguientes etapas:
El cliente MCP envía una solicitud de inicialización al punto final de MCP y recibe un mcp-session-id que se utiliza en la comunicación posterior con el servidor MCP. El cliente envía una solicitud JSONRPC al servidor MCP utilizando el método herramientas/llamada para llamar a herramientas como get_figma_data y download_figma_images.
El meollo del problema está en «src/utils/fetch-with-retry.ts», que primero intenta recuperar el contenido usando la API de recuperación estándar y, si eso falla, procede a ejecutar el comando curl a través de child_process.exec. Esto da como resultado una falla en la inyección de comandos.
«Debido a que los comandos curl se construyen insertando URL y valores de encabezado directamente en cadenas de comandos de shell, un atacante malicioso podría crear URL o valores de encabezado especialmente diseñados que inyectan comandos de shell arbitrarios», dijo Imperva. «Esto podría conducir potencialmente a la ejecución remota de código (RCE) en la máquina host».
En un ataque de prueba de concepto, un atacante malicioso remoto en la misma red (como una red Wi-Fi pública o un dispositivo corporativo comprometido) podría desencadenar una falla al enviar una serie de solicitudes a un MCP vulnerable. Alternativamente, un atacante podría engañar a una víctima para que visite un sitio especialmente diseñado como parte de un ataque de revinculación de DNS.
Esta vulnerabilidad se resolvió en la versión 0.6.3 de figma-developer-mcp lanzada el 29 de septiembre de 2025. Como mitigación, recomendamos evitar el uso de child_process.exec con entradas que no sean de confianza y cambiar a child_process.execFile, que elimina el riesgo de interpretación del shell.
«A medida que las herramientas de desarrollo basadas en IA evolucionan y aumenta la adopción, es importante considerar la seguridad junto con la innovación», afirmó la empresa propiedad de Thales. «Esta vulnerabilidad es un claro recordatorio de que incluso las herramientas destinadas a ejecutarse localmente pueden ser un poderoso punto de entrada para los atacantes».
El desarrollo se produce después de que FireTail revelara que Google había decidido no solucionar un nuevo ataque de contrabando ASCII en su chatbot Gemini AI que podría usarse como arma para crear información que pudiera eludir los filtros de seguridad y provocar respuestas no deseadas. Otros modelos de lenguajes grandes (LLM) que son susceptibles a este ataque incluyen DeepSeek y Grok de xAI.
«Y esta falla es especialmente peligrosa cuando los LLM como Gemini están profundamente integrados en plataformas empresariales como Google Workspace», dijo la compañía. «Esta tecnología permite la suplantación de identidad automatizada y el envenenamiento sistemático de datos, convirtiendo las fallas de la interfaz de usuario en posibles pesadillas de seguridad».
Source link
