Figma Developer MCP Sunucusundaki Güvenlik Açığı
Son günlerde, siber güvenlik alanında önemli bir gelişme yaşandı. Figma developer MCP Model Context Protocol (MCP) sunucusunda tespit edilen ve düzeltme yapılan bir güvenlik açığı, kötü niyetli aktörlerin kod yürütme gerçekleştirmesine olanak sağlıyor. CVE-2025-53967 koduyla tanımlanan bu açık, üzerinde durulması gereken bir zafiyeti temsil ediyor.
Açığın Tanımı ve Etkisi
Bu açık, kullanıcı girdilerinin yeterince sanitizasyon yapılmadan kullanılmasıyla ortaya çıkan bir komut enjeksiyonu hatasıdır. Siber güvenlik araştırmacıları, bu açığın, saldırganların sistem üzerinde rasgele komutlar göndermesine olanak tanıdığını bildiriyor. Açığın CVSS puanı ise 7.5 olarak değerlendirilmiştir. Bu da, olası istismarların ciddiyetini gözler önüne seriyor.
GitHub üzerindeki bir danışmanlık notuna göre, “Sunucu, doğrulanmamış kullanıcı girdileriyle komut satırı dizeleri içinde shell komutları üretiyor ve yürütüyor. Bu durum, shell metakarakter enjeksiyonu olasılığını artırıyor.” diyerek durumu özetliyor. Bu tür bir istismar, sunucu sürecinin ayrıcalıkları altında uzaktan kod yürütmeye zemin hazırlayabiliyor.
Hedeflerin Neler Olduğu
Figma MCP sunucu, yapay zekâ destekli kodlama araçları ile Figma’da çeşitli işlemleri gerçekleştirmek için farklı araçlar sunuyor. Bu nedenle, bir saldırganın MCP istemcisini yanıltarak istenmeyen eylemleri gerçekleştirmesine olanak tanıyan bir dolaylı istem enjeksiyonu senaryosu mümkün hale geliyor.
Imperva isimli güvenlik şirketi, bu açığı Temmuz 2025’te keşfetti ve durumu raporladı. Açığın tasarımında yer alan bir gözden geçirme ile kötü niyetli aktörlerin tam uzaktan kod yürütmesine yol açabilecek bir durum ortaya çıkıyor. Açığın exploit edilme süreci ise birkaç aşamadan oluşuyor.
Exploitation Aşaması
MCP istemcisi, MCP son noktasına Initialize isteği göndererek, sonraki iletişimde kullanılacak bir mcp-session-id talep eder. Ardından, istemci, tools/call metodunu içeren bir JSONRPC isteği ile MCP sunucusuna, get_figma_data veya download_figma_images gibi araçları çağırır.
Sorunun özü, “src/utils/fetch-with-retry.ts” dosyasında yatmaktadır. Burada standart fetch API’sini kullanarak içerik almak için ilk deneme yapılmakta ve eğer bu başarısız olursa, child_process.exec aracılığıyla curl komutu çalıştırılmaktadır. Bu, komut enjeksiyonu açığını doğurur.
Saldırının Yöntemi
Açığı kullanan bir uzaktan aktör, aynı ağda (örneğin, kamu Wi-Fi’si ya da tehlikeye atılmış bir kurumsal cihazda) istekler göndererek bu durumu tetikleyebilir. Alternatif olarak, bir kurbanı, bir DNS yeniden bağlama saldırısı ile özel olarak hazırlanmış bir siteyi ziyaret etmeye ikna edebilir.
Imperva, “Curl komutu, URL ve başlık değerlerini doğrudan bir shell komut dizisine birleştirerek oluşturulur. Kötü niyetli bir aktör, rastgele shell komutları enjekte eden özel bir URL veya başlık değeri oluşturabilir.” şeklinde bir açıklama yapıyor. Bu durum, ev sahibi makinede uzaktan kod yürütmeye (RCE) sebep olabilir.
Düzeltmeler ve Önlemler
Bu tehlikeli güvenlik açığı, 29 Eylül 2025 tarihinde yayımlanan figma-developer-mcp sürüm 0.6.3 ile giderilmiştir. Önlem olarak, güvenilmeyen girdiler ile child_process.exec kullanılmamasının yanı sıra, shell yorumlaması riskini ortadan kaldıran child_process.execFile kullanımının önerildiği belirtilmiştir.
Thales’in sahibi olduğu şirket, “Yapay zekâ destekli geliştirme araçları ilerledikçe ve benimsenme oranı arttıkça, güvenlik endişelerinin de gelişimin hızına ayak uydurması önemlidir.” diyerek durumu vurguladı. Bu güvenlik açığı, yerel olarak çalışması amaçlanan araçların bile saldırganlar için güçlü bir giriş noktası olabileceğinin acı bir hatırlatıcısıdır.
Son Gelişmeler ve Diğer Açıklar
Bu gelişmelerin yanı sıra, Google‘ın Gemini AI sohbet robotunda tespit edilen yeni bir ASCII smuggling saldırısının düzeltme yoluna gitmemesi, dikkate alınması gereken başka bir zayıflık olarak gündeme geldi. Bu açık, güvenlik filtrelerinden geçebilecek girdilerin oluşturulmasına olanak tanıyor. Büyük dil modelleri (LLM) arasında yer alan DeepSeek ve xAI’nin Grok modeli de bu saldırılara maruz kalabiliyor.
Bu tür zayıflıkların, özellikle Gemini gibi LLM’lerin Google Workspace gibi kurumsal platformlarla derinlemesine entegre edilmiş olması, otomatik kimlik taklidi ve sistematik veri zehirlenmesi riskini doğuruyor. Bu tür teknikler, bir kullanıcı arayüzü kusurunu potansiyel bir güvenlik kabusu haline getirebilir.
