Vulnerabilidad RCE en Figma: cómo proteger tus proyectos y tus tokens
Hackers pueden acceder de forma remota a archivos sin siquiera iniciar sesión en la cuenta.
La popular herramienta para trabajar con maquetas — Figma — se vio en riesgo debido a una vulnerabilidad en el servidor Model Context Protocol (MCP), en el que se basa la integración con agentes con IA. El problema fue detectado en el verano de 2025 por especialistas de Imperva y ya fue corregido; sin embargo, en el momento del hallazgo permitía la ejecución remota de comandos en el servidor. La vulnerabilidad recibió el identificador CVE-2025-53967 y obtuvo una puntuación de 7,5 en la escala CVSS.
La esencia del problema consistía en el manejo inseguro de datos entrantes. El componente figma-developer-mcp formaba incorrectamente comandos de shell, insertando directamente en ellos parámetros recibidos del cliente sin la filtrado adecuado. Esto permitía inyectar metacaracteres de la shell — tales como |, >, && — y sustituir la lógica de ejecución. El error se encontraba en el módulo src/utils/fetch-with-retry.ts, donde ante una falla de la petición estándar a la API se recurría a curl invocado mediante child_process.exec, lo que abría la puerta a las inyecciones.
En un escenario normal, el cliente inicializa la sesión con MCP e intercambia solicitudes en formato JSON-RPC, invocando diversas herramientas auxiliares — por ejemplo, para obtener datos del diseño o subir imágenes. No obstante, al emplear URL o cabeceras especialmente manipuladas, un atacante podía inyectar un comando arbitrario que se ejecutaba con los privilegios del proceso del servidor.
Ese tipo de ataque podía realizarse tanto dentro de una misma red, por ejemplo a través de un host corporativo comprometido o una Wi-Fi pública, como mediante DNS Rebinding — bastaba con que el usuario abriera un sitio malicioso creado ad hoc.
Los autores del informe subrayaron que la vulnerabilidad surgió por un fallo en la arquitectura del mecanismo de fallback, donde exec se aplicaba sin comprobar la fiabilidad de los datos de origen. Como resultado, la herramienta destinada al uso local con agentes de IA como Cursor se convertía en un punto de entrada para un ataque remoto capaz de afectar proyectos y datos personales de desarrolladores.
El problema fue corregido en la versión 0.6.3, publicada el 29 de septiembre de 2025. Se recomienda a los desarrolladores abandonar el uso de child_process.exec al procesar entrada externa en favor de execFile, que evita la interpretación por la shell.
Representantes de Imperva señalaron que, a medida que evolucionan las herramientas de desarrollo con componente de IA, es necesario tener en cuenta con mayor rigor la seguridad no solo de las API externas sino también de los componentes locales, ya que incluso módulos de este tipo pueden convertirse en un eslabón vulnerable dentro de la infraestructura.
Las huellas digitales son tu debilidad, y los hackers lo saben