کمیته رکن چهارم– پژوهشگران امنیت سایبری از شناسایی یک آسیبپذیری جدی در سرور Figma MCP خبر دادند که امکان اجرای کد از راه دور را برای مهاجمان فراهم میکرد. این نقص با شناسه CVE-2025-53967 و امتیاز ۷.۵ در سیستم CVSS به ثبت رسیده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری از نوع تزریق فرمان است و در اثر ساخت ناصحیح دستورات خط فرمان از ورودیهای کاربر، باعث میشد مهاجم بتواند با درج متاکاراکترهای خاص، کد دلخواه را روی سرور اجرا کند. نقص در ماژول fetch-with-retry زمانی رخ میداد که تابع جایگزین برای بارگذاری محتوا، به جای روش ایمن، از دستور curl در قالب exec استفاده میکرد و ورودیها را مستقیماً به پوسته ارسال مینمود.
سرور Figma MCP برای ارتباط میان ابزارهای توسعه مبتنی بر هوش مصنوعی مانند Cursor طراحی شده و این آسیبپذیری میتوانست راهی برای حملات غیرمستقیم از طریق prompt injection باز کند. شرکت Imperva که این نقص را در ژوئیه ۲۰۲۵ شناسایی کرده، آن را ناشی از طراحی ناامن fallback توصیف کرده است.
بهروزرسانی نسخه ۰٫۶٫۳ از بسته figma-developer-mcp که در ۲۹ سپتامبر ۲۰۲۵ منتشر شد، این مشکل را برطرف کرده است. کارشناسان توصیه میکنند از exec برای اجرای دستورات استفاده نشود و ورودیها قبل از پردازش بهطور کامل پالایش شوند. این رخداد بار دیگر نشان میدهد که حتی ابزارهای توسعه محلی نیز میتوانند در صورت بیتوجهی به اصول ایمنی، به نقاط ورودی مهاجمان تبدیل شوند.
