网络安全研究人员披露了热门工具 figma-developer-mcp（模型上下文协议，MCP）服务器中一个现已修复的漏洞。该漏洞可能使攻击者实现代码执行。 此漏洞编号为 CVE-2025-53967，CVSS 评分为 7.5，属于命令注入漏洞，根源在于对用户输入未进行安全处理，从而为攻击者发送任意系统命令打开了方便之门。 该漏洞的 GitHub 安全公告指出：“服务器会直接将未经验证的用户输入嵌入到命令行字符串中，进而构造并执行 Shell 命令。这使得 Shell 元字符注入（如 |、>、&& 等）成为可能。成功利用该漏洞可导致攻击者以服务器进程的权限执行远程代码。”...