Plataforma
python
Componente
ray
Corrigido em
2.8.1
2.8.1
Uma vulnerabilidade de Path Traversal foi descoberta no Ray Dashboard (porta padrão 8265) nas versões do Ray anteriores à 2.8.1. A falha reside na validação inadequada de caminhos fornecidos pelo usuário no mecanismo de tratamento de arquivos estáticos. Um atacante pode explorar essa falha para acessar arquivos fora do diretório estático pretendido, potencialmente expondo informações sensíveis.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante navegue pelo sistema de arquivos subjacente ao Ray Dashboard. Isso pode levar à divulgação de arquivos de configuração, código-fonte, logs ou outros dados confidenciais armazenados no servidor. O impacto potencial varia dependendo da sensibilidade dos arquivos acessíveis, mas pode incluir a exposição de credenciais, informações de infraestrutura ou dados proprietários. A ausência de controles de acesso adequados pode permitir que um atacante obtenha acesso a informações críticas, comprometendo a integridade e a confidencialidade do sistema Ray.
Esta vulnerabilidade foi publicada em 2026-03-17. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Organizations deploying Ray clusters with the Ray Dashboard enabled are at risk, particularly those running versions 0.0 through 2.8.1. Shared hosting environments where multiple users share the same Ray Dashboard instance are especially vulnerable, as an attacker could potentially access files belonging to other users.
• python / server:
import os
import requests
url = 'http://your_ray_dashboard_ip:8265/static/../../../../etc/passwd'
response = requests.get(url)
if response.status_code == 200:
print('Potential Path Traversal Detected: ', response.text[:100]) # Print first 100 chars
else:
print('No Path Traversal Detected')• linux / server:
find / -name 'ray_dashboard.conf' -print 2>/dev/null | while read file;
do
grep -q 'path_traversal_bypass' $file && echo "Potential Path Traversal Configuration Found: $file";
donedisclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Ray Dashboard para a versão 2.8.1 ou superior, que corrige a falha de Path Traversal. Se a atualização imediata não for possível, considere implementar controles de acesso mais rigorosos ao diretório de arquivos estáticos, restringindo o acesso apenas a usuários autorizados. Implementar um Web Application Firewall (WAF) com regras para bloquear sequências de traversal (como '../') pode fornecer uma camada adicional de proteção. Monitore os logs do Ray Dashboard em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice Ray a la versión 2.8.1 o superior. Esto solucionará la vulnerabilidad de path traversal en el dashboard de Ray. La actualización se puede realizar utilizando el gestor de paquetes de Python (pip).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32981 is a path traversal vulnerability in Ray Dashboard versions 0.0 - 2.8.1, allowing attackers to access files outside the intended static directory.
You are affected if you are using Ray Dashboard versions 0.0 through 2.8.1. Upgrade to 2.8.1 or later to mitigate the risk.
The primary fix is to upgrade Ray Dashboard to version 2.8.1 or later. Consider WAF rules as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature makes exploitation likely.
Refer to the official Ray security advisory for detailed information and updates: [https://ray.io/security/](https://ray.io/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.