TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > フレームワーク: Ray > AI環境向けに分散処理フレームワーク「Ray」にRCE脆弱性

AI環境向けに分散処理フレームワーク「Ray」にRCE脆弱性

フレームワーク: Ray RCE脆弱性 AI / 人工知能

【要点】

◎分散処理フレームワークRayに、DNSリバインディングと組み合わせてRCEが可能な深刻な脆弱性が判明し、修正版への更新が強く推奨された。 (Security NEXT)


【要約】

AI向け分散処理フレームワークRayに、認証が設定されていない開発者エンドポイントを悪用し、DNSリバインディング攻撃によりリモートコード実行が可能となる脆弱性CVE-2025-62593が確認された。Rayを起動した環境でFirefoxやSafariを利用し、細工されたWebページを閲覧すると任意コードが実行される恐れがある。CVSSv4.0は9.4と極めて高く、重要度はCriticalと評価された。開発チームはRay 2.52.0でトークンベース認証を導入して対処しており、PoC公開を踏まえ速やかな更新が求められている。


【ニュース】

◆AI環境向けに分散処理フレームワーク「Ray」にRCE脆弱性 (Security NEXT, 2025/12/01)
https://www.security-next.com/177785

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022