exploitDog

CVE-2025-53967

Опубликовано: 08 окт. 2025

Источник: nvd

CVSS3: 8

EPSS Низкий

Описание

Framelink Figma MCP Server before 0.6.3 allows an unauthenticated remote attacker to execute arbitrary operating system commands via a crafted HTTP POST request with shell metacharacters in input that is used by a fetchWithRetry curl command. The vulnerable endpoint fails to properly sanitize user-supplied input, enabling the attacker to inject malicious commands that are executed with the privileges of the MCP process. Exploitation requires network access to the MCP interface.

Ссылки

EPSS

Процентиль: 2%

0.00012

Низкий

8 High

CVSS3

Дефекты

CWE-420

Связанные уязвимости

GHSA-gxw4-4fc5-9gr5

CVSS3: 7.5

github

4 месяца назад

figma-developer-mcp vulnerable to command injection in get_figma_data tool

BDU:2026-00243

CVSS3: 8

fstec

4 месяца назад

Уязвимость MCP- сервера Framelink Figma MCP Server, связанная с использованием незащищенного альтернативного канала, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 2%

0.00012

Низкий

8 High

CVSS3

Дефекты

CWE-420