मुफ्त स्कैन करें
HIGHCVE-2026-32981CVSS 7.5

रे डैशबोर्ड <= 2.8.0 में पथ पारगमन जिससे स्थानीय फ़ाइल प्रकटीकरण होता है

प्लेटफ़ॉर्म

python

घटक

ray

में ठीक किया गया

2.8.1

2.8.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-32981 Ray Dashboard में एक पथ पारगमन भेद्यता है, जो Ray के संस्करणों 0 से 2.8.1 तक के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। Ray 2.8.1 में अपग्रेड करके इस भेद्यता को ठीक किया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को Ray Dashboard के माध्यम से सिस्टम पर संग्रहीत संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है। हमलावर पथ पारगमन अनुक्रमों (जैसे ../) का उपयोग करके इच्छित स्थिर निर्देशिका के बाहर फ़ाइलों तक पहुँच सकते हैं। इससे गोपनीय डेटा का खुलासा हो सकता है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, लॉग फ़ाइलें या अन्य संवेदनशील जानकारी शामिल हो सकती है। इस भेद्यता का शोषण करने के लिए हमलावर को Ray Dashboard तक पहुँच की आवश्यकता होती है, जो आमतौर पर डिफ़ॉल्ट पोर्ट 8265 पर चलता है। यदि हमलावर को इस तक पहुँच प्राप्त हो जाती है, तो वे सिस्टम पर व्यापक क्षति पहुँचा सकते हैं।

शोषण संदर्भ

CVE-2026-32981 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर (7.5) इंगित करती है कि यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन पथ पारगमन भेद्यताओं का इतिहास दर्शाता है कि शोषण कोड जल्दी से विकसित हो सकता है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations deploying Ray clusters with the Ray Dashboard enabled are at risk, particularly those running versions 0.0 through 2.8.1. Shared hosting environments where multiple users share the same Ray Dashboard instance are especially vulnerable, as an attacker could potentially access files belonging to other users.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import requests

url = 'http://your_ray_dashboard_ip:8265/static/../../../../etc/passwd'
response = requests.get(url)

if response.status_code == 200:
    print('Potential Path Traversal Detected: ', response.text[:100]) # Print first 100 chars
else:
    print('No Path Traversal Detected')

• linux / server:

find / -name 'ray_dashboard.conf' -print 2>/dev/null | while read file;
do
  grep -q 'path_traversal_bypass' $file && echo "Potential Path Traversal Configuration Found: $file";
done

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.08% (24% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकray
विक्रेताray-project
प्रभावित श्रेणीमें ठीक किया गया
0 – 2.8.12.8.1
2.8.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन
प्रकाशन के -837 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2026-32981 को कम करने के लिए, Ray 2.8.1 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Ray Dashboard के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर करके केवल विश्वसनीय स्रोतों से पहुँच की अनुमति दी जा सकती है। इसके अतिरिक्त, स्थिर फ़ाइलों के लिए पहुँच नियंत्रण को कड़ा करना और अनावश्यक फ़ाइलों को हटाना भेद्यता के हमले की सतह को कम कर सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Ray Dashboard को पुनः कॉन्फ़िगर करें और फ़ाइलों तक अनधिकृत पहुँच के लिए जाँच करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Ray a la versión 2.8.1 o superior. Esto solucionará la vulnerabilidad de path traversal en el dashboard de Ray. La actualización se puede realizar utilizando el gestor de paquetes de Python (pip).

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-32981 — पथ पारगमन Ray Dashboard में क्या है?

CVE-2026-32981 Ray Dashboard में एक पथ पारगमन भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुँचने की अनुमति देती है।

क्या मैं CVE-2026-32981 में Ray Dashboard से प्रभावित हूँ?

यदि आप Ray के संस्करण 0 से 2.8.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-32981 में Ray Dashboard को कैसे ठीक करूँ?

CVE-2026-32981 को ठीक करने के लिए, Ray 2.8.1 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-32981 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-32981 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक आकर्षक लक्ष्य है।

मैं CVE-2026-32981 के लिए आधिकारिक Ray सलाहकार कहाँ पा सकता हूँ?

आप Ray की वेबसाइट पर CVE-2026-32981 के लिए आधिकारिक सलाहकार पा सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें