https://blog.qife122.com/tags/ray/ Recent content in Ray on 办公AI智能小助手 Hugo zh-cn qife Wed, 03 Dec 2025 15:09:02 +0800 https://blog.qife122.com/p/cve-2025-34351anyscale-ray-v2.52.0-%E9%BB%98%E8%AE%A4%E9%85%8D%E7%BD%AE%E7%A6%81%E7%94%A8%E4%BB%A4%E7%89%8C%E8%AE%A4%E8%AF%81%E5%B8%A6%E6%9D%A5%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ Wed, 03 Dec 2025 15:09:02 +0800 https://blog.qife122.com/p/cve-2025-34351anyscale-ray-v2.52.0-%E9%BB%98%E8%AE%A4%E9%85%8D%E7%BD%AE%E7%A6%81%E7%94%A8%E4%BB%A4%E7%89%8C%E8%AE%A4%E8%AF%81%E5%B8%A6%E6%9D%A5%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ <h3 id="概述">概述</h3> <p>CVE-2025-34351 是一项在 Anyscale Ray 2.52.0 中发现的安全漏洞，其严重等级为 <strong>9.3（CRITICAL）</strong>。</p> <h3 id="漏洞描述">漏洞描述</h3> <p>Anyscale Ray 2.52.0 包含一个不安全的默认配置：除非显式设置环境变量 <code>RAY_AUTH_MODE=token</code> 来启用，否则 Ray 管理界面（包括仪表板和 Jobs API）的基于令牌的身份验证将处于禁用状态。在此默认的未认证状态下，能够访问这些界面的远程攻击者可以向 Ray 集群提交任务并执行任意代码。</p>