Vulnérabilité MCP de Figma
Des chercheurs en cybersécurité ont révélé les détails d’une vulnérabilité désormais corrigée dans le serveur figma-developer-mcp (Model Context Protocol), populaire, qui aurait pu permettre à des attaquants d’exécuter du code arbitraire.
Cette faille, suivie sous le nom CVE-2025-53967 (score CVSS : 7,5), est une injection de commande résultant de l’utilisation non sécurisée des entrées utilisateur. Cela ouvre la porte à des scénarios où un attaquant pourrait envoyer des commandes système arbitraires.
« Le serveur construit et exécute des commandes shell en utilisant directement des entrées utilisateur non validées dans des chaînes de commande. Cela introduit la possibilité d’injections de métacaractères shell (|, >, &&, etc.), » selon un avis GitHub concernant cette faille. « Une exploitation réussie peut mener à une exécution de code à distance avec les privilèges du processus serveur. »
Étant donné que le serveur Framelink Figma MCP expose divers outils pour effectuer des opérations dans Figma à l’aide d’agents de codage alimentés par l’IA, comme Cursor, un attaquant pourrait tromper le client MCP pour exécuter des actions non intentionnelles via une injection de prompt indirecte.
Imperva, l’entreprise de cybersécurité qui a découvert et signalé ce problème en juillet 2025, décrit la CVE-2025-53967 comme une « erreur de conception » dans le mécanisme de repli, permettant à des acteurs malveillants d’obtenir une exécution de code à distance complète, mettant ainsi les développeurs en danger d’exposition de données.
La faille d’injection de commande « survient lors de la construction d’une instruction en ligne de commande utilisée pour envoyer du trafic vers le point de terminaison de l’API Figma », explique Yohann Sillam, chercheur en sécurité.
Séquence d’exploitationL’exploitation se déroule en plusieurs étapes :
![[Image: Flow-Chain-of-the-Attack.jpg]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg0yUo8nyTRjyGxKuKNvhOrEnxMVCFFM_0-h-tJckBS6LRX9TrgrvMjmr5T_M-2TTUC9GpDdgbDaB5FwDIjUZKhXeqx741PvKoYg_M7iIvNLpbBQhyphenhyphenTtFYc2pFj-fHO2Gw5yH18N9dqy06ijjHwn7nJBRbrMMxh6YddwY_AME5VhuMHx9paSx3_0CFyzeQl/s790-rw-e365/Flow-Chain-of-the-Attack.jpg)
« Comme la commande curl est construite en interpolant directement les valeurs d’URL et d’en-têtes dans une chaîne de commande shell, un acteur malveillant pourrait concevoir une URL ou une valeur d’en-tête spécialement conçue pour injecter des commandes shell arbitraires, » précise Imperva. « Cela pourrait mener à une exécution de code à distance (RCE) sur la machine hôte. »
Preuve de concept:
Un attaquant distant sur le même réseau (par exemple, un Wi-Fi public ou un appareil d’entreprise compromis) pourrait déclencher cette faille en envoyant une série de requêtes au MCP vulnérable. Alternativement, l’attaquant pourrait tromper une victime en la faisant visiter un site spécialement conçu dans le cadre d’une attaque par rebind DNS.
La vulnérabilité a été corrigée dans la version 0.6.3 de figma-developer-mcp, publiée le 29 septembre 2025. Parmi les mesures d’atténuation, il est conseillé d’éviter d’utiliser child_process.exec avec des entrées non fiables et de privilégier child_process.execFile, qui élimine le risque d’interprétation par le shell.
« À mesure que les outils de développement pilotés par l’IA continuent d’évoluer et de gagner en adoption, il est essentiel que les considérations de sécurité suivent le rythme de l’innovation, » déclare l’entreprise détenue par Thales. « Cette vulnérabilité rappelle de manière frappante que même les outils conçus pour fonctionner localement peuvent devenir des points d’entrée puissants pour les attaquants. »
Cette révélation intervient alors que FireTail a annoncé que Google a choisi de ne pas corriger une nouvelle attaque par « ASCII smuggling » dans son chatbot IA Gemini, qui pourrait être exploitée pour contourner les filtres de sécurité et induire des réponses indésirables. D’autres grands modèles de langage (LLM) vulnérables à cette attaque incluent DeepSeek et Grok de xAI.
« Cette faille est particulièrement dangereuse lorsque les LLM, comme Gemini, sont profondément intégrés dans des plateformes d’entreprise comme Google Workspace, » précise FireTail. « Cette technique permet l’usurpation automatisée d’identité et l’empoisonnement systématique des données, transformant une faille d’interface utilisateur en un cauchemar potentiel pour la sécurité. »
Des chercheurs en cybersécurité ont révélé les détails d’une vulnérabilité désormais corrigée dans le serveur figma-developer-mcp (Model Context Protocol), populaire, qui aurait pu permettre à des attaquants d’exécuter du code arbitraire.
Cette faille, suivie sous le nom CVE-2025-53967 (score CVSS : 7,5), est une injection de commande résultant de l’utilisation non sécurisée des entrées utilisateur. Cela ouvre la porte à des scénarios où un attaquant pourrait envoyer des commandes système arbitraires.
« Le serveur construit et exécute des commandes shell en utilisant directement des entrées utilisateur non validées dans des chaînes de commande. Cela introduit la possibilité d’injections de métacaractères shell (|, >, &&, etc.), » selon un avis GitHub concernant cette faille. « Une exploitation réussie peut mener à une exécution de code à distance avec les privilèges du processus serveur. »
Étant donné que le serveur Framelink Figma MCP expose divers outils pour effectuer des opérations dans Figma à l’aide d’agents de codage alimentés par l’IA, comme Cursor, un attaquant pourrait tromper le client MCP pour exécuter des actions non intentionnelles via une injection de prompt indirecte.
Imperva, l’entreprise de cybersécurité qui a découvert et signalé ce problème en juillet 2025, décrit la CVE-2025-53967 comme une « erreur de conception » dans le mécanisme de repli, permettant à des acteurs malveillants d’obtenir une exécution de code à distance complète, mettant ainsi les développeurs en danger d’exposition de données.
La faille d’injection de commande « survient lors de la construction d’une instruction en ligne de commande utilisée pour envoyer du trafic vers le point de terminaison de l’API Figma », explique Yohann Sillam, chercheur en sécurité.
Séquence d’exploitationL’exploitation se déroule en plusieurs étapes :
- Le client MCP envoie une requête Initialize au point de terminaison MCP pour recevoir un mcp-session-id, utilisé dans les communications ultérieures avec le serveur MCP.
- Le client envoie une requête JSONRPC au serveur MCP avec la méthode tools/call pour appeler des outils comme get_figma_data ou download_figma_images.
« Comme la commande curl est construite en interpolant directement les valeurs d’URL et d’en-têtes dans une chaîne de commande shell, un acteur malveillant pourrait concevoir une URL ou une valeur d’en-tête spécialement conçue pour injecter des commandes shell arbitraires, » précise Imperva. « Cela pourrait mener à une exécution de code à distance (RCE) sur la machine hôte. »
Preuve de concept:
Un attaquant distant sur le même réseau (par exemple, un Wi-Fi public ou un appareil d’entreprise compromis) pourrait déclencher cette faille en envoyant une série de requêtes au MCP vulnérable. Alternativement, l’attaquant pourrait tromper une victime en la faisant visiter un site spécialement conçu dans le cadre d’une attaque par rebind DNS.
La vulnérabilité a été corrigée dans la version 0.6.3 de figma-developer-mcp, publiée le 29 septembre 2025. Parmi les mesures d’atténuation, il est conseillé d’éviter d’utiliser child_process.exec avec des entrées non fiables et de privilégier child_process.execFile, qui élimine le risque d’interprétation par le shell.
« À mesure que les outils de développement pilotés par l’IA continuent d’évoluer et de gagner en adoption, il est essentiel que les considérations de sécurité suivent le rythme de l’innovation, » déclare l’entreprise détenue par Thales. « Cette vulnérabilité rappelle de manière frappante que même les outils conçus pour fonctionner localement peuvent devenir des points d’entrée puissants pour les attaquants. »
Cette révélation intervient alors que FireTail a annoncé que Google a choisi de ne pas corriger une nouvelle attaque par « ASCII smuggling » dans son chatbot IA Gemini, qui pourrait être exploitée pour contourner les filtres de sécurité et induire des réponses indésirables. D’autres grands modèles de langage (LLM) vulnérables à cette attaque incluent DeepSeek et Grok de xAI.
« Cette faille est particulièrement dangereuse lorsque les LLM, comme Gemini, sont profondément intégrés dans des plateformes d’entreprise comme Google Workspace, » précise FireTail. « Cette technique permet l’usurpation automatisée d’identité et l’empoisonnement systématique des données, transformant une faille d’interface utilisateur en un cauchemar potentiel pour la sécurité. »
![[-]](https://www.tisi-fr.com/board/images/collapse.png)