事件经过
78/xiaozhi-esp32项目至版本2.2.6包含ParseMessage函数中MCP响应处理程序组件main/mcp_server.cc中的同步不当漏洞(CWE-662)。竞态条件可远程利用并可导致拒绝服务。CVSS 3.1评分低(3.1)。除网络访问外未注明认证复杂性。
影响分析
xiaozhi-esp32是在ESP32微控制器上运行的开源AI语音助手框架,具有MCP服务器集成,支持LLM驱动的IoT/边缘AI应用程序。虽然单个设备具有有限的破坏范围,但对AI连接边缘设备群的DoS可能中断语音助手或家庭自动化部署。MCP组件是AI集成表面。
攻击途径
远程攻击者向ParseMessage处理程序发送格式错误或竞态条件触发MCP消息,导致同步不当和设备拒绝服务
受影响系统
78/xiaozhi-esp32 ≤ 2.2.6
缓解措施
当补丁版本发布时更新xiaozhi-esp32至2.2.6之外。仓库:https://github.com/78/xiaozhi-esp32