关键信息 漏洞概要 漏洞名称: Ray: New Token Authentication is Disabled By Default CVE ID: 目前未知 GHSA ID: GHSA-w8vc-465m-jjw6 严重性: Critical (CVSS v4.0评分10.0/10) 影响范围 受影响的版本: 所有Ray版本 修复版本: 无 包: Ray (pip包) 漏洞描述和影响 总结: Ray版本2.52.0在修复CVE-2023-48022时引入了一个不完整的修复。新认证机制被默认禁用,导致Ray在部署时处于不安全的默认配置状态。 影响: 公共暴露的Ray实例存在远程代码执行漏洞,允许攻击者在受影响系统上运行任意代码。 解决方案 变通方案: 参考官方文档启用Ray的认证机制: [](https://docs.ray.io/en/latest/ray-security/token-auth.html) 参考链接 LinkedIn文章 Oligo Security博客1 Oligo Security博客2 评估指标 攻击向量: 网络 攻击复杂度: 低 认证需求: 无 所需权限: 无 用户交互: 无 漏洞系统影响: 保密性、完整性、可用性均为高 CVSS v4.0: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/V:A/H/SC:H/SI:H/SA:H 弱点 CWE: CWE-304 (不安全的默认配置) 其它 CVE身份分配规则: 根据CVE CNA规则4.1.4确定