何が起きたか
78/xiaozhi-esp32プロジェクトバージョン2.2.6以前はmain/mcp_server.cc内のParseMessage関数のMCPレスポンスハンドラーコンポーネント内の不適切な同期脆弱性(CWE-662)を含みます。競合状態はリモート悪用可能で、サービス拒否を引き起こす可能性があります。CVSS 3.1スコアは低(3.1)です。ネットワークアクセスを超えた認証複雑性は記載されていません。
なぜ重要か
xiaozhi-esp32はESP32マイクロコントローラー上で実行されるオープンソースAIボイスアシスタントフレームワークで、MCPサーバー統合を備え、ルマ駆動型IoT/エッジAIアプリケーションを実現します。個別デバイスのブラスト半径は限定的ですが、AIに接続されたエッジデバイスのフロート全体へのDoSはボイスアシスタントまたはホームオートメーション展開を中断する可能性があります。MCPコンポーネントはAI統合サーフェスです。
攻撃経路
リモート攻撃者はParseMessageハンドラーに形式が不正でありまたは競合状態をトリガーするMCPメッセージを送信し、不適切な同期とデバイスサービス拒否を引き起こします。
影響を受けるシステム
78/xiaozhi-esp32 ≤ 2.2.6
緩和策
パッチされたリリースが公開されたときにxiaozhi-esp32 2.2.6を超えて更新します。リポジトリ:https://github.com/78/xiaozhi-esp32