Platform
python
Component
ray
Opgelost in
2.8.1
2.8.1
Een Path Traversal kwetsbaarheid is ontdekt in Ray Dashboard, de webinterface voor het Ray distributed computing framework. Deze kwetsbaarheid, aanwezig in versies van Ray 0 tot en met 2.8.1, stelt aanvallers in staat om via ongevalideerde paden bestanden buiten de beoogde statische directory te onthullen. De kwetsbaarheid is publiekelijk bekendgemaakt op 17 maart 2026 en is verholpen in versie 2.8.1.
Deze Path Traversal kwetsbaarheid in Ray Dashboard maakt het mogelijk voor een aanvaller om gevoelige bestanden op het systeem te onthullen waarop Ray Dashboard draait. Door het manipuleren van paden via traversal sequences (zoals '../') kan de aanvaller toegang krijgen tot bestanden buiten de statische directory, zoals configuratiebestanden, logbestanden of zelfs broncode. De impact kan variëren afhankelijk van de privileges van de gebruiker die de Ray Dashboard-service uitvoert en de gevoeligheid van de bestanden die toegankelijk zijn. Een succesvolle exploitatie kan leiden tot data-exfiltratie en mogelijk verdere toegang tot het systeem.
Op dit moment (2026-03-17) zijn er geen publieke exploits bekend. De kwetsbaarheid is opgenomen in de CISA KEV catalogus met een waarschijnlijkheid die nog moet worden geëvalueerd. Er is geen indicatie van actieve campagnes die deze kwetsbaarheid uitbuiten, maar gezien de eenvoud van de exploitatie is het waarschijnlijk dat er in de toekomst PoCs zullen verschijnen.
Organizations deploying Ray clusters with the Ray Dashboard enabled are at risk, particularly those running versions 0.0 through 2.8.1. Shared hosting environments where multiple users share the same Ray Dashboard instance are especially vulnerable, as an attacker could potentially access files belonging to other users.
• python / server:
import os
import requests
url = 'http://your_ray_dashboard_ip:8265/static/../../../../etc/passwd'
response = requests.get(url)
if response.status_code == 200:
print('Potential Path Traversal Detected: ', response.text[:100]) # Print first 100 chars
else:
print('No Path Traversal Detected')• linux / server:
find / -name 'ray_dashboard.conf' -print 2>/dev/null | while read file;
do
grep -q 'path_traversal_bypass' $file && echo "Potential Path Traversal Configuration Found: $file";
donedisclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het upgraden van Ray Dashboard naar versie 2.8.1 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot Ray Dashboard via een firewall of WAF. Configureer de WAF om traversal sequences (zoals '../') in URL's te blokkeren. Controleer de configuratie van Ray Dashboard om ervoor te zorgen dat de statische directory correct is ingesteld en dat er geen onnodige bestanden toegankelijk zijn. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot bestanden buiten de statische directory via de Ray Dashboard interface.
Actualice Ray a la versión 2.8.1 o superior. Esto solucionará la vulnerabilidad de path traversal en el dashboard de Ray. La actualización se puede realizar utilizando el gestor de paquetes de Python (pip).
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32981 is a path traversal vulnerability in Ray Dashboard versions 0.0 - 2.8.1, allowing attackers to access files outside the intended static directory.
You are affected if you are using Ray Dashboard versions 0.0 through 2.8.1. Upgrade to 2.8.1 or later to mitigate the risk.
The primary fix is to upgrade Ray Dashboard to version 2.8.1 or later. Consider WAF rules as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature makes exploitation likely.
Refer to the official Ray security advisory for detailed information and updates: [https://ray.io/security/](https://ray.io/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.