Рассказываем об ошибках, которые позволяют запускать произвольный код на сервере: уязвимости в СУБД Redis и Valkey, а также проблемах в figma-developer-mcp. Чтобы защитить свои системы, рекомендуем как можно скорее обновить программное обеспечение до последних версий.
Redis и Valkey: опасная ошибка, которую не замечали 13 лет
Исследователи из компании Wiz обнаружили критическую уязвимость в системе управления базами данных Redis (CVE-2025-49844) с наивысшим уровнем опасности — 10 баллов по CVSS. Уязвимость позволяет злоумышленнику выполнить произвольный код (RCE) на сервере с помощью Lua-скриптов. Для эксплуатации требуется доступ к Redis-серверу, допускающему выполнение пользовательских Lua-скриптов. Это характерно для серверов с открытым или слабым доступом. Уязвимость также проявляется в проекте Valkey, развивающем форк Redis.
Проблема связана с ошибкой обращения к освобождённой памяти (use-after-free), возникающей при взаимодействии сборщика мусора с вредоносным Lua-скриптом. Это позволяет злоумышленнику обойти изоляцию Lua-песочницы и выполнить код с правами пользователя, под которым работает Redis.
Атака может скомпрометировать публично доступные экземпляры Redis, а также сервисы облачных провайдеров и хостингов, использующих эту СУБД. Уязвимость оставалась незамеченной почти 13 лет. Сейчас она устранена в версиях Redis 8.2.2, 8.0.4, 7.4.6, 7.2.11 и 6.2.20, а также в форке Valkey версии 8.1.4 и новее. Поэтому для защиты стоит обновить ПО до этих версий и отключить выполнение Lua-скриптов, запретив команды EVAL и EVALSHA через ACL. Рекомендуется также ограничить доступ к командам FAMILY EVAL и FUNCTION через ACL для защиты от этих проблем.
Проверить статус обновлений по дистрибутивам можно на официальных страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.
Критическая уязвимость в figma-developer-mcp: риск утечки данных
Исследователи из компании Imperva рассказали о критической уязвимости (CVE-2025-53967, 7.5 баллов CVSS) в сервере figma-developer-mcp. Это инструмент для взаимодействия ИИ-ассистентов с популярным графическим редактором Figma. Уязвимость позволяла злоумышленникам выполнять произвольный код на компьютере пользователя, чтобы получить доступ к чувствительным данным. Сейчас её уже устранили.
Уязвимость заключалась в инъекции команд — проблема возникала из-за неэкранированного пользовательского ввода. Сервер некорректно обрабатывал внешние данные, подставляя их в системные команды без проверки. Атакующий должен был находиться в той же сети, что и жертва (например, в общественном Wi-Fi или скомпрометированной корпоративной сети), или использовать технику DNS Rebinding. Он отправлял специально сформированный запрос, чтобы заставить сервер выполнить на устройстве жертвы потенциально вредоносную команду.
Как защититься:
- Уязвимость устранили в figma-developer-mcp версии 0.6.3, поэтому советуем проверить обновления.
- Избегайте использования child_process.exec с недоверенным вводом и перейдите на child_process.execFile.
Возможно, вам будет интересно
