描述
Ray 是一个 AI 计算引擎。在 2.52.0 版本之前,使用 Ray 作为开发工具的开发者可能通过一个关键的 RCE 漏洞被攻击,该漏洞可通过 Firefox 和 Safari 浏览器利用。此漏洞的原因是对基于浏览器的攻击防护不足,因为当前的防御机制使用以字符串“Mozilla”开头的 User-Agent 头作为防御手段。这一防御措施并不充分,因为 fetch 规范允许修改 User-Agent 头。当结合针对浏览器的 DNS 重绑定攻击时,运行 Ray 的开发者如果无意中访问了恶意网站或遭遇恶意广告(恶意广告软件),此漏洞即可被利用。该问题已在 2.52.0 版本中修复。
受影响产品
以下产品受 CVE-2025-62593 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本信息,下表也未展示这些信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Ray_project | ray |
- 总计受影响供应商:1 | 产品:1
CVSS 分数
通用漏洞评分系统是评估软件和系统漏洞严重性的标准化框架。我们为每个 CVE 收集并显示来自各来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.4 | CVSS 4.0 | 严重 | security-advisories@github.com |
解决方案
- 将 Ray 更新至 2.52.0 或更高版本以修复此 RCE 漏洞。
- 确保配置正确的浏览器安全设置。
- 对开发者进行有关恶意网站风险的教育。
公开的 PoC/漏洞利用
CVE-2025-62593 在 GitHub 上有 1 个公开的 PoC/漏洞利用程序。请转到“公开漏洞利用”选项卡查看列表。
相关公告、解决方案和工具的参考链接
此处提供了与 CVE-2025-62593 相关的深度信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://github.com/ray-project/ray/commit/70e7c72780bdec075dba6cad1afe0832772bfe09 | |
| https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v |
CWE - 通用缺陷枚举
CVE 标识特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-62593 与以下 CWE 相关联:
- CWE-94: 代码生成的不当控制(“代码注入”)
- CWE-352: 跨站请求伪造(CSRF)
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类(CAPEC)存储了攻击模式,这些模式描述了攻击者利用 CVE-2025-62593 弱点时所采用的常见属性和方法。
- CAPEC-35: 在不可执行文件中利用可执行代码
- CAPEC-77: 操作用户控制的变量
- CAPEC-242: 代码注入
- CAPEC-62: 跨站请求伪造
- CAPEC-111: JSON 劫持(又称 JavaScript 劫持)
- CAPEC-462: 跨域搜索计时
- CAPEC-467: 跨站识别
新闻动态
以下列表提及了包含 CVE-2025-62593 漏洞信息的新闻。
-
Daily CyberSecurity
- 标题: Critical Ray AI Flaw Exposes Devs via Safari & Firefox (CVE-2025-62593)
- 摘要: 在 Ray 框架中发现了一个关键的远程代码执行(RCE)漏洞,使 AI 和 Python 开发者面临系统被入侵的风险。该漏洞被追踪…
- 发布日期: 2025年11月27日(1天9小时前)
-
Daily CyberSecurity
- 标题: Water Gamayun Weaponizes “MSC EvilTwin” Zero-Day for Stealthy Backdoor Attacks
- 摘要: Zscaler Threat Hunting 发现了一个复杂的新网络间谍活动,揭示了俄罗斯关联的 APT 组织 Water Gamayun 如何利用一个…
- 发布日期: 2025年11月27日(1天9小时前)
由于潜在的显示性能问题,结果限制为前20篇新闻报道。
漏洞时间线
以下表格列出了 CVE-2025-62593 漏洞随时间所做的更改。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新 CVE 接收 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 由 security-advisories@github.com 于 2025年11月26日接收 | 添加 | 描述 | Ray 是一个 AI 计算引擎。在 2.52.0 版本之前,使用 Ray 作为开发工具的开发者可能通过一个关键的 RCE 漏洞被攻击,该漏洞可通过 Firefox 和 Safari 浏览器利用。此漏洞的原因是对基于浏览器的攻击防护不足,因为当前的防御机制使用以字符串“Mozilla”开头的 User-Agent 头作为防御手段。这一防御措施并不充分,因为 fetch 规范允许修改 User-Agent 头。当结合针对浏览器的 DNS 重绑定攻击时,运行 Ray 的开发者如果无意中访问了恶意网站或遭遇恶意广告(恶意广告软件),此漏洞即可被利用。该问题已在 2.52.0 版本中修复。 | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | ||
| 添加 | CWE | CWE-352 | ||
| 添加 | CWE | CWE-94 | ||
| 添加 | 参考链接 | https://github.com/ray-project/ray/commit/70e7c72780bdec075dba6cad1afe0832772bfe09 | ||
| 添加 | 参考链接 | https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v |