CVE-2025-15060
Mis à jour :
Injection de commandes dans Framelink Figma MCP Server
Une faille de sécurité, identifiée sous la référence CVE-2025-15060, a été découverte dans le Framelink Figma MCP Server. Cette vulnérabilité permet à des attaquants distants, sans aucune authentification préalable, d’exécuter du code arbitraire sur les installations affectées. L’exécution se fait dans le contexte du compte de service.
La faiblesse réside dans la méthode fetchWithRetry, qui ne valide pas correctement les chaînes de caractères fournies par l’utilisateur avant de les utiliser dans un appel système.
Points clés :
- Vulnérabilité : Injection de commandes (Command Injection).
- Produit affecté : Framelink Figma MCP Server.
- Localisation de la faille : Méthode
fetchWithRetry. - Cause : Absence de validation des entrées utilisateur avant l’exécution d’un appel système.
- Impact : Exécution de code arbitraire à distance sans authentification, dans le contexte du compte de service.
- CVE : CVE-2025-15060.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, une approche générale pour remédier à ce type de vulnérabilité consisterait à mettre en œuvre une validation stricte et une désinfection rigoureuse de toutes les entrées utilisateur avant leur utilisation dans des opérations système critiques, et notamment avant d’appeler des fonctions qui exécutent des commandes système. L’application de correctifs par le fournisseur est également une mesure essentielle.