São Paulo — InkDesign News — Pesquisadores descobriram uma falha grave de injeção de comandos no servidor MCP da Framelink para Figma, potencialmente permitindo a execução remota de código (RCE) em ambientes de desenvolvimento que utilizam ferramentas de design integradas.
Vetor de ataque
A vulnerabilidade, identificada como CVE-2025-53967, é resultante de uma falha de validação e sanitização de entrada do usuário no pacote npm “figma-developer-mcp”. Este problema permite a execução de comandos de sistema arbitrários por meio da ferramenta get_figma_data. O advisory no GitHub destaca que “o servidor constrói e executa comandos de shell usando entradas de usuário não validadas diretamente nas strings de linha de comando” (
“This introduces the possibility of shell metacharacter injection (|, >, &&, etc.)”
(“Isso introduz a possibilidade de injeção de metacaracteres de shell (|, >, &&, etc.)”)— Pesquisadores do GitHub
).
Impacto e resposta
A exploração bem-sucedida dessa falha pode resultar em sérias consequências, devido ao acesso que os atacantes teriam aos privilégios do processo servidor. Para mitigar esses riscos, uma atualização foi liberada, substituindo “child_process.exec()” por “child_process.execFile()” e implementando a validação correta de entrada para evitar a interpretação de shell. Usuários são aconselhados a atualizar para a versão 0.6.3 ou superior do Figma MCP e a revisar logs em busca de padrões de execução de comandos suspeitos.
Análise e recomendações
Organizações devem estar cientes do crescente número de servidores MCP em operação, que já ultrapassam 15.000 globalmente. Pesquisas indicam que muitos deles estão mal configurados, expondo vulnerabilidades que podem ser facilmente exploradas. O que se observa, segundo Yossi Pik, CTO da Backslash Security, é que “os clientes estão adotando essas tecnologias ainda mais amplamente do que as organizações entendem” (
“They’re even more widely adopted than organizations even understand”
(“Estão sendo adotados ainda mais amplamente do que as organizações entendem”)— Yossi Pik, CTO, Backslash Security
).
Para evitar tais riscos, é fundamental que as organizações auditem suas ferramentas e apliquem políticas de segurança rigorosas no gerenciamento de integrações críticas.
Fonte: (Dark Reading – Segurança Cibernética)
