Vulnerabilities ›

CVE-2026-8116

Medium

CWE-22 — Weakness Type

                    Published: May 8, 2026                      ·  Modified: May 10, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A weakness has been identified in huangjunsen0406 xiaozhi-mcphub up to 1.0.3. This vulnerability affects unknown code of the file src/controllers/dxtController.ts. This manipulation of the argument manifest.name causes path traversal. The attack may be initiated remotely. The exploit has been made available to the public and could be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.

🤖 AI Executive Summary

A path traversal vulnerability exists in xiaozhi-mcphub up to version 1.0.3 through the manifest.name parameter in dxtController.ts, allowing remote attackers to access unauthorized files. The vulnerability has public exploits available and the vendor has not yet responded to notifications.

📄 Description (Arabic)

ثغرة اجتياز المسار في xiaozhi-mcphub تسمح للمهاجمين بالتلاعب بمعامل manifest.name للوصول إلى ملفات خارج الدليل المقصود. الاستغلال متاح للجمهور ويمكن استخدامه في هجمات فعلية ضد الأنظمة المتأثرة. المشروع لم يستجب بعد للإخطارات الأمنية.

🤖 ملخص تنفيذي (AI)

ثغرة اجتياز المسار موجودة في xiaozhi-mcphub حتى الإصدار 1.0.3 من خلال معامل manifest.name في dxtController.ts، مما يسمح للمهاجمين البعيدين بالوصول إلى الملفات غير المصرح بها. الثغرة لديها استغلالات عامة متاحة والبائع لم يرد على الإخطارات حتى الآن.

🤖 AI Intelligence Analysis Analyzed: May 17, 2026 08:01

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1021

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update xiaozhi-mcphub to a patched version beyond 1.0.3 immediately. Implement input validation and sanitization for the manifest.name parameter. Apply path traversal protection mechanisms and restrict file access through proper access controls. Monitor for suspicious file access patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث xiaozhi-mcphub إلى إصدار مصحح يتجاوز 1.0.3 فوراً. قم بتنفيذ التحقق من صحة المدخلات وتنظيفها لمعامل manifest.name. طبق آليات حماية اجتياز المسار وقيد الوصول إلى الملفات من خلال عناصر التحكم في الوصول المناسبة. راقب أنماط الوصول إلى الملفات المريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.6.1.2 A.13.1.1 A.14.2.1

🔗 References & Sources 5

🔗

https://github.com/huangjunsen0406/xiaozhi-mcphub/

cna@vuldb.com

🔗

https://github.com/huangjunsen0406/xiaozhi-mcphub/issues/29

cna@vuldb.com

🔗

https://vuldb.com/submit/808260

cna@vuldb.com

🔗

https://vuldb.com/vuln/361904

cna@vuldb.com

🔗

https://vuldb.com/vuln/361904/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-22

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-08

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-22

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8116

Introduce Yourself

Sign In Required