北京赛克艾威科技有限公司 2025-11-27
Ray 是一套开源的分布式计算框架,通过 Dashboard Web 服务提供任务管理、调度与可视化接口,在本地开发与集群场景中广泛使用。 受影响版本中,Dashboard 的 Job API 在处理创建任务的 HTTP 请求时,仅依赖 User\-Agent 判断是否来自浏览器。该接口位于 dashboard/modules/job/job\_head.py 的 JobsHeadHttpServer.\_is\_browser\_request 与相关路由中逻辑未进行身份校验,导致攻击者可利用浏览器的 Fetch 请求与DNS重绑定,将受害者浏览器流量引向本地 Dashboard,直接触发 /api/jobs 与 /api/job\_agent/jobs/ 等可执行任意任务的接口,从而执行任意命令。 修复版本中通过引入基于 Sec\-Fetch\-\* 请求头的浏览器识别机制,在 JobsHeadHttpServer.\_is\_browser\_request 中加入对 Sec\-Fetch\-Mode 等字段的检测,并在 Job 创建接口中拒绝带有浏览器特征的请求,进一步阻断浏览器可达路径,防止 DNS重绑...
1. 将组件 ray 升级至 2.52.0 及以上版本
https://www.oscs1024.com/hd/MPS-armt-7pn0
https://nvd.nist.gov/vuln/detail/CVE-2025-62593
https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v
https://github.com/ray-project/ray/commit/70e7c72780bdec075dba6cad1afe0832772bfe09