开源的人工智能计算框架Ray被发现存在一个严重的安全漏洞,标记为CVE202348023。根据SecurityWeek的报道,该漏洞可能被恶意攻击者利用,导致未经授权的节点访问。
据Bishop Fox的报告,攻击者可能利用这一缺陷,原因在于其仪表板与客户端之间缺少身份验证和授权支持,进而可能窃取Ray EC2实例的凭据。Bishop Fox指出:“换句话说,即便Ray的管理员明确启用了TLS身份验证,他们也无法为用户提供不同的权限,例如只读访问Ray仪表板。”
梯子大全vp-n保持Ray更新的Anyscale公司已对该漏洞进行了通知,但该公司的报告已经关闭,原因是他们认为此漏洞涉及未经认证的远程代码执行,且是故意行为。此外,其他严重缺陷,如一个不安全的输入验证漏洞CVE20236021和一个服务器端请求伪造漏洞CVE202348022,也尚未被解决,因为它们未被认定为安全漏洞。
在开源软件的开发和使用中,安全性应被置于首位,开发者和维护者需对潜在的安全缺陷保持高度警惕。
漏洞类型漏洞标识描述关键漏洞CVE202348023缺乏身份验证和授权支持导致的节点访问漏洞不安全的输入验证漏洞CVE20236021可能导致恶意输入被执行服务器端请求伪造漏洞CVE202348022恶意请求可能影响服务器的安全性
