PT-2026-21334 · Anyscale · Ray

Qi-Scape

·

Publicado

2026-02-20

·

Atualizado

2026-03-10

·

CVE-2026-27482

CVSS v3.1

6.5

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Ray 2.53.0 e inferiores
Descrição O servidor HTTP do dashboard do Ray não protege adequadamente as requisições DELETE, e endpoints DELETE críticos não possuem autenticação por padrão. Se o dashboard/agente estiver acessível, uma página web utilizando DNS rebinding ou acesso na mesma rede pode emitir requisições DELETE que desativam o Serve ou excluem jobs sem interação do usuário, resultando em uma condição de negação de serviço. Os endpoints vulneráveis incluem:
  • /api/serve/applications/ que chama serve.shutdown().
  • /api/jobs/{job or submission id}.
  • /api/job agent/jobs/{job or submission id}. O problema surge porque a função get browsers no post put middleware verifica apenas requisições POST e PUT, negligenciando as requisições DELETE. As requisições do navegador incluem cabeçalhos como User-Agent e Origin, mas o middleware não impede requisições DELETE não autorizadas. A autenticação por token do dashboard é opcional e está desativada por padrão, aumentando o risco ao vincular a 0.0.0.0 para acesso remoto.
Recomendações Atualize para a versão 2.54.0 ou superior do Ray.

Exploit

Correção

DoS

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-396

Identificadores relacionados

CVE-2026-27482
ECHO-0E02-C16F-6496
GHSA-Q5FH-2HC8-F6RQ

Produtos afetados

Ray