무슨 일이 있었나
78/xiaozhi-esp32 프로젝트 버전 2.2.6까지는 main/mcp_server.cc 내 ParseMessage 함수인 MCP 응답 핸들러 구성 요소에서 부적절한 동기화 취약점(CWE-662)을 포함합니다. 경합 조건은 원격으로 악용 가능하며 서비스 거부를 야기할 수 있습니다. CVSS 3.1 점수는 낮음 (3.1)입니다. 네트워크 액세스 이외의 인증 복잡성은 주목되지 않습니다.
왜 중요한가
xiaozhi-esp32는 LLM 기반 IoT/엣지 AI 애플리케이션을 활성화하는 MCP 서버 통합으로 ESP32 마이크로컨트롤러에서 실행되는 오픈 소스 AI 음성 어시스턴트 프레임워크입니다. 개별 장치는 제한된 영향 반경을 가지지만, AI 연결 엣지 장치 플릿에 대한 DoS는 음성 어시스턴트 또는 홈 자동화 배포를 방해할 수 있습니다. MCP 구성 요소는 AI 통합 표면입니다.
공격 경로
원격 공격자는 형식이 잘못되었거나 경합 조건을 유발하는 MCP 메시지를 ParseMessage 핸들러로 보내 부적절한 동기화 및 장치 서비스 거부를 야기합니다.
영향받는 시스템
78/xiaozhi-esp32 ≤ 2.2.6
완화 방안
패치된 릴리스가 발표될 때 xiaozhi-esp32를 2.2.6 이상으로 업데이트합니다. 저장소: https://github.com/78/xiaozhi-esp32