关键信息 1. 漏洞概述 CVE编号: CVE-2025-56803 漏洞类型: 命令注入漏洞 受影响应用: Figma Desktop Application 版本: 125.6.5 厂商: Figma, Inc. CVSS评分: 8.6 向量字符串: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H 2. 漏洞详情 问题描述: 在Figma Desktop Application中,插件执行时存在命令注入漏洞。恶意插件可以滥用 字段,该字段直接传递给 ,导致任意OS命令执行。 代码示例: PoC: 3. 推荐措施 应用程序应避免依赖用户控制的字段(如 ),并进行严格的输入验证以防止命令注入。 避免使用Node.js的 ,改用更安全的替代方案。