ray
Corregido en
2.8.1
2.8.1
Una vulnerabilidad de Path Traversal ha sido descubierta en Ray Dashboard, la interfaz web de Ray, en versiones anteriores a 2.8.1. Esta falla permite a un atacante, a través de secuencias de recorrido de directorios como '../', acceder a archivos fuera del directorio de archivos estáticos previsto. El impacto principal es la posible divulgación de información sensible almacenada en el sistema de archivos.
La vulnerabilidad de Path Traversal en Ray Dashboard permite a un atacante leer archivos arbitrarios en el sistema de archivos del servidor donde se ejecuta Ray. Esto podría incluir archivos de configuración, claves API, datos de usuario o cualquier otro archivo al que el proceso de Ray tenga acceso. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, comprometer la seguridad del clúster de Ray o incluso ejecutar código malicioso si se accede a archivos ejecutables. La severidad de esta vulnerabilidad es alta debido a su potencial para causar un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 17 de marzo de 2026. Actualmente no se han reportado casos de explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a ser explotada. No se ha añadido a la lista KEV de CISA, pero su CVSS de 7.5 (ALTO) indica una probabilidad de explotación moderada a alta.
Organizations deploying Ray clusters with the Ray Dashboard enabled are at risk, particularly those running versions 0.0 through 2.8.1. Shared hosting environments where multiple users share the same Ray Dashboard instance are especially vulnerable, as an attacker could potentially access files belonging to other users.
• python / server:
import os
import requests
url = 'http://your_ray_dashboard_ip:8265/static/../../../../etc/passwd'
response = requests.get(url)
if response.status_code == 200:
print('Potential Path Traversal Detected: ', response.text[:100]) # Print first 100 chars
else:
print('No Path Traversal Detected')• linux / server:
find / -name 'ray_dashboard.conf' -print 2>/dev/null | while read file;
do
grep -q 'path_traversal_bypass' $file && echo "Potential Path Traversal Configuration Found: $file";
donedisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Ray a la versión 2.8.1 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a Ray Dashboard solo a usuarios autorizados y configurar un firewall para bloquear el acceso desde redes no confiables. Además, se puede implementar un WAF (Web Application Firewall) para detectar y bloquear intentos de traversal de directorios. Verifique que el directorio de archivos estáticos tenga los permisos correctos para evitar accesos no autorizados.
Actualice Ray a la versión 2.8.1 o superior. Esto solucionará la vulnerabilidad de recorrido de ruta en el dashboard de Ray. La actualización se puede realizar utilizando el gestor de paquetes de Python (pip).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32981 is a path traversal vulnerability in Ray Dashboard versions 0.0 - 2.8.1, allowing attackers to access files outside the intended static directory.
You are affected if you are using Ray Dashboard versions 0.0 through 2.8.1. Upgrade to 2.8.1 or later to mitigate the risk.
The primary fix is to upgrade Ray Dashboard to version 2.8.1 or later. Consider WAF rules as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature makes exploitation likely.
Refer to the official Ray security advisory for detailed information and updates: [https://ray.io/security/](https://ray.io/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.