【低危漏洞】CVE-2026-23833：ESPHome protobuf 解码器整数溢出导致拒绝服务

漏洞概述

ESPHome 是一个用于通过家庭自动化系统远程控制微控制器的开源平台。在版本 2025.9.0 至 2025.12.6 中，其 API 组件的 protobuf 解码器存在整数溢出漏洞（CWE-190），当未启用 API 加密时，攻击者可利用该漏洞发起拒绝服务（DoS）攻击，导致设备崩溃。该漏洞影响所有 ESPHome 支持的硬件平台，包括 ESP32、ESP8266、RP2040 和 LibreTiny。

漏洞详情

• CVE 编号：CVE-2026-23833
• 漏洞类型：整数溢出（CWE-190）
• CVSS 评分：1.7（LOW，CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VA:L）
• 影响版本：ESPHome 2025.9.0 至 2025.12.6

影响范围

该漏洞影响所有使用 ESPHome 2025.9.0 至 2025.12.6 版本的设备，涵盖 ESP32、ESP8266、RP2040 和 LibreTiny 等平台。只要设备启用了明文 API 协议（即未启用 Noise 加密），就可能受到未经认证的远程攻击。

风险分析

攻击者可通过发送特制的恶意请求，其中包含超大的 field_length 值，触发 components/api/proto.cpp 中的整数溢出，绕过边界检查 ptr + field_length > end，导致设备读取非法内存地址并崩溃。由于该漏洞仅影响可用性（Availability），不会造成信息泄露或远程代码执行，因此 CVSS 评分为低危。但若设备部署在关键场景中，频繁的 DoS 可能影响整体系统稳定性。值得注意的是，启用 API 加密（Noise）后，攻击者需掌握加密密钥才能利用此漏洞，显著提升攻击门槛。

修复建议

• 立即升级 ESPHome 至 2025.12.7 或更高版本，该版本已修复此整数溢出问题。
• 为所有 ESPHome 设备启用 API 加密（Noise），并为每个设备配置唯一的加密密钥，以防止未授权访问。
• 参考 ESPHome 官方《安全最佳实践》指南，强化设备整体安全配置。

参考链接

• ESPHome 安全最佳实践
• 漏洞修复提交
• 相关 Pull Request
• GitHub 安全公告（GHSA-4h3h-63v6-88qx）