LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Figma’s Model Context Protocol (MCP) könnte es Angreifern ermöglichen, aus der Ferne Code auszuführen. Diese Schwachstelle, die bereits behoben wurde, stellt ein erhebliches Risiko für Entwickler dar, die mit KI-gestützten Tools arbeiten.

 Heutige Tagesdeals bei Amazon!  ˗ˋˏ$ˎˊ˗

Eine kürzlich aufgedeckte Sicherheitslücke im Model Context Protocol (MCP) von Figma hat die Aufmerksamkeit der Entwicklergemeinschaft auf sich gezogen. Diese Schwachstelle, die unter CVE-2025-53967 registriert ist, ermöglicht es Angreifern, durch unsachgemäße Handhabung von Benutzereingaben beliebige Systembefehle auszuführen. Die Sicherheitslücke wurde als kritisch eingestuft und hat einen CVSS-Score von 7,5 erhalten.

Die Schwachstelle resultiert aus der unsicheren Konstruktion von Shell-Befehlen, die direkt aus nicht validierten Benutzereingaben erstellt werden. Dies eröffnet die Möglichkeit einer Shell-Metazeichen-Injektion, bei der Angreifer spezielle Zeichen wie |, > oder && verwenden können, um unerwünschte Befehle auszuführen. Laut einem GitHub-Advisory kann eine erfolgreiche Ausnutzung zu einer Remote-Code-Ausführung unter den Privilegien des Serverprozesses führen.

Stellenangebote

Disponent - Koordination / Kommunikation / KI (m/w/d)
Reko GmbH & Co. KG
Dörth
SENIOR CONSULTING KI BANKING (ALL GENDERS)
GLASER LEMKE Managementberatung GmbH
Munich
IT-Mitarbeiter (m/w/d) – Schwerpunkt Künstliche Intelligenz in der Immobilienwirtschaft
IntReal Solutions GmbH
Hamburg
Werkstudent (m/w/d) im Bereich Innovations - Weiterentwicklung KI-gestütztes Innovationsmanagenttool
Marquardt GmbH
Rietheim-Weilheim, Deutschland
AI Solution Builder:in & Advocate
enercity AG
Hannover
Alle KI-Jobs ansehen

Besonders besorgniserregend ist, dass der Figma MCP-Server verschiedene Tools bereitstellt, um Operationen in Figma mit KI-gestützten Codierungsagenten wie Cursor durchzuführen. Ein Angreifer könnte den MCP-Client dazu bringen, unbeabsichtigte Aktionen auszuführen, indem er eine indirekte Eingabeaufforderungsinjektion verwendet. Die Sicherheitsfirma Imperva, die das Problem im Juli 2025 entdeckt und gemeldet hat, beschreibt die Schwachstelle als ein “Design-Fehlurteil” im Fallback-Mechanismus, das es böswilligen Akteuren ermöglicht, vollständige Remote-Code-Ausführung zu erreichen.

Die Schwachstelle tritt während der Konstruktion einer Kommandozeilenanweisung auf, die verwendet wird, um Datenverkehr an den Figma API-Endpunkt zu senden. Der Fehler liegt im Kern in der Datei “src/utils/fetch-with-retry.ts”, die zunächst versucht, Inhalte über die Standard-Fetch-API abzurufen und bei einem Fehlschlag einen Curl-Befehl über child_process.exec ausführt. Diese Methode führt zur Befehlsinjektion, da URL- und Header-Werte direkt in einen Shell-Befehl interpoliert werden.

Imperva hat empfohlen, die Verwendung von child_process.exec mit nicht vertrauenswürdigen Eingaben zu vermeiden und stattdessen auf child_process.execFile umzusteigen, um das Risiko der Shell-Interpretation zu eliminieren. Die Schwachstelle wurde in der Version 0.6.3 von figma-developer-mcp behoben, die am 29. September 2025 veröffentlicht wurde. Diese Entwicklung unterstreicht die Notwendigkeit, dass Sicherheitsüberlegungen mit der Innovation Schritt halten müssen, insbesondere da KI-gestützte Entwicklungstools weiter an Bedeutung gewinnen.

Parallel dazu hat FireTail bekannt gegeben, dass Google beschlossen hat, einen neuen ASCII-Schmuggelangriff in seinem Gemini-KI-Chatbot nicht zu beheben. Dieser Angriff könnte genutzt werden, um Eingaben zu erstellen, die Sicherheitsfilter umgehen und unerwünschte Antworten hervorrufen. Andere große Sprachmodelle, die für diesen Angriff anfällig sind, sind DeepSeek und xAI’s Grok. Diese Schwachstelle ist besonders gefährlich, wenn Sprachmodelle wie Gemini tief in Unternehmensplattformen wie Google Workspace integriert sind.

*Amazon-Kreditkarte ohne Jahresgebühr mit 2.000 Euro Verfügungsrahmen bestellen! a‿z

🤖 Alle KI-Gadgets auf Amazon ansehen!


Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
30,99 EUR Amazon Prime
Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»
Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 'Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player
Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player
30,50 EUR
Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»
ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer
ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer
20,99 EUR Amazon Prime
Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»
QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku
QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku
Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»
EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner
EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner
169,00 EUR Amazon Prime

Hat Ihnen der Artikel bzw. die News - Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich
Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich (Foto: DALL-E, IT BOLTWISE)

Stellenangebote

Senior-Spezialist (d/m/w) – Schwerpunkt KI-Plattform

Landwirtschaftliche Rentenbank
Frankfurt am Main

Junior Produktmanager (m/w/d) Automatisierung & KI, InsurTech

CHECK24
Hamburg

Data Privacy & AI Counsel (m/w/d)

Innovation Group Germany GmbH
Stuttgart

Anwendungsberater KI m/w/d

TEAG Thüringer Energie AG
Erfurt

AI Manager - Frontend Developer digitale Interfaces & KI-Anwendungen (w/m/d)

KPMG AG Wirtschaftsprüfungsgesellschaft
Berlin, Frankfurt, Hamburg, München

Software Architect AI (all genders)

adesso SE
Augsburg, Karlsruhe, Koblenz, München, Nürnberg, Saarbrücken, Stuttgart, Ulm, Walldorf
Alle KI-Jobs ansehen
Folgen Sie aktuellen Beiträge über KI & Robotik auf Twitter, Telegram, Facebook oder LinkedIn!
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.

Diesen Artikel kommentieren


Ähnliche Beiträge aus unserem „Boltwise®“-Archiv:
  1. Apple plant Integration von KI-Standards in iOS CUPERTINO / LONDON (IT BOLTWISE) – Apple plant, das Model Context Protocol (MCP) in seine Betriebssysteme zu integrieren, um die Interaktion von KI-Systemen zu verbessern. Diese Neuerung könnte Siri und andere Anwendungen auf iPhones, iPads...
  2. Google setzt neue Maßstäbe im KI-Training durch realen Datenzugang MOUNTAIN VIEW / LONDON (IT BOLTWISE) – Google hat mit der Einführung des Data Commons Model Context Protocol (MCP) Servers einen bedeutenden Schritt in der KI-Entwicklung gemacht. Der MCP Server ermöglicht den Zugriff auf reale...
  3. Apple integriert MCP-Unterstützung in iOS und MacOS CUPERTINO / LONDON (IT BOLTWISE) – Apple plant eine bedeutende Erweiterung seiner Betriebssysteme durch die Integration des Model Context Protocols (MCP). Diese Entwicklung könnte die Art und Weise, wie KI-Assistenten mit Anwendungen auf iPhone, iPad...
  4. Apple bereitet iOS 26.1 für KI-Integration vor CUPERTINO / LONDON (IT BOLTWISE) – Apple plant mit iOS 26.1 eine tiefgreifende Integration von KI-Modellen in seine Betriebssysteme. Das neue Model Context Protocol (MCP) soll es ermöglichen, dass KI-Systeme wie ChatGPT direkt auf App-Daten...
  5. Delineas MCP-Server: Sicherer Zugang für KI-Agenten LONDON (IT BOLTWISE) – Delinea hat einen neuen Open-Source-Server vorgestellt, der KI-Agenten einen sicheren Zugang zu sensiblen Systemen ermöglicht. Der Model Context Protocol (MCP) Server schützt Anmeldedaten und minimiert das Risiko von Missbrauch durch KI-Systeme....
  6. Erster bösartiger MCP-Server entdeckt: E-Mails in Gefahr LONDON (IT BOLTWISE) – Ein neuer Sicherheitsvorfall erschüttert die Softwarebranche: Ein bösartiger MCP-Server wurde entdeckt, der E-Mails stiehlt. Diese Entdeckung zeigt die wachsenden Risiken in der Software-Lieferkette und die Herausforderungen, denen Unternehmen gegenüberstehen, um ihre...
  7. OpenAI integriert Apps direkt in ChatGPT SAN FRANCISCO / LONDON (IT BOLTWISE) – OpenAI hat eine neue Möglichkeit für Entwickler geschaffen, Anwendungen direkt in ChatGPT zu integrieren. Ab Montag können Nutzer interaktive Anwendungen von Unternehmen wie Spotify, Figma und Coursera direkt...
  8. Erster bösartiger MCP-Server entdeckt: Risiken für die Software-Lieferkette LONDON (IT BOLTWISE) – Ein bösartiger MCP-Server wurde entdeckt, der E-Mails stiehlt und die Risiken für die Software-Lieferkette erhöht. Forscher von Koi Security fanden heraus, dass ein Entwickler schädlichen Code in ein npm-Paket eingeschleust hat,...
  9. Kritische Sicherheitslücke in Sudo: CISA warnt vor aktiver Ausnutzung WASHINGTON / LONDON (IT BOLTWISE) – Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Sicherheitslücke im Sudo-Befehlszeilenprogramm für Linux- und Unix-ähnliche Betriebssysteme in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Schwachstelle,...
  10. CISA erweitert KEV-Katalog um neue Sicherheitslücken WASHINGTON / LONDON (IT BOLTWISE) – Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihren Katalog der bekannten ausgenutzten Schwachstellen um fünf neue Sicherheitslücken erweitert. Diese Schwachstellen betreffen kritische Systeme und werden aktiv ausgenutzt,...

Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
  • Die nächste Stufe der Evolution
24,00 EUR Amazon Prime
Bei Amazon ansehen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
  • Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
24,00 EUR
Bei Amazon ansehen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
  • Odoi, Tawia(Autor)
29,99 EUR Amazon Prime
Bei Amazon ansehen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
  • Krauss, Patrick(Autor)
24,99 EUR Amazon Prime
Bei Amazon ansehen
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: "Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich".
Stichwörter AI Artificial Intelligence Cybersecurity Cybersicherheit Entwicklung Figma Hacker IT-Sicherheit KI Künstliche Intelligenz Netzwerksicherheit Remote Code Ausführung Sicherheitslücke Software
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!
Nächster Artikel

BMW und die Herausforderungen der deutschen Automobilindustrie

8. Oktober 2025
Vorheriger Artikel

Samsung Galaxy S26 Ultra: Farbwahl sorgt für Diskussionen

8. Oktober 2025

Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich" für unsere Leser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • Die aktuellen intelligenten Ringe, intelligenten Brillen, intelligenten Uhren oder KI-Smartphones auf Amazon entdecken! (Sponsored)

    • Es werden alle Kommentare moderiert!

    Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

    Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

    Du willst nichts verpassen?

    Du möchtest über ähnliche News und Beiträge wie "Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
    Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Schwerwiegende Sicherheitslücke in Figma MCP: Sofortiges Update erforderlich« bei Google Deutschland suchen, bei Bing oder Google News!

    576 Leser gerade online auf IT BOLTWISE®
    KI-Jobs