CVE-2023-6020 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ray 框架 `/static/` 目录存在 **LFI（本地文件包含）** 漏洞。 💥 **后果**：攻击者可 **无授权读取** 服务器上的任意文件，导致敏感数据泄露。

🔍 **CWE**：CWE-862（**缺失的授权**）。 🐛 **缺陷点**：静态资源目录未正确校验输入，允许路径遍历或非法访问。

📦 **厂商**：ray-project。 🏷️ **产品**：ray-project/ray。 📅 **披露**：2023-11-16。

🕵️ **权限**：无需认证即可操作。 📂 **数据**：可读取服务器 **任何文件**（如源码、配置、密钥等）。

🚪 **门槛**：**极低**。 ✅ **认证**：**不需要**。 ⚙️ **配置**：只要 `/static/` 目录暴露且存在漏洞逻辑即可利用。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板已收录（CVE-2023-6020.yaml）。

🔎 **自查**：扫描 `/static/` 目录。 🛠️ **工具**：使用 Nuclei 或类似 LFI 扫描器检测异常文件读取响应。

🛡️ **补丁**：数据中 **未提及** 具体补丁版本或修复链接。 ⚠️ 建议关注官方 GitHub 仓库更新。

🚧 **临时规避**： 1. **隐藏** `/static/` 目录。 2. 配置 WAF **拦截** 路径遍历字符。 3. 限制静态目录访问权限。

⚡ **优先级**：**高**。 📉 **风险**：无认证即可读全盘文件，直接威胁核心数据安全，需 **立即** 处理。