本周Pure Storage发布资安公告，指出旗下存储系统FlashArray和FlashBlade存在5项重大层级的漏洞，其中有2个CVSS风险评分达到了10分（满分）的程度，可说是相当危险。这些漏洞攻击者有机会用来运行任意代码、未经授权存取，甚至有可能破坏存储设备的运作，该公司已发布新版软件进行修补。

对于这些漏洞在台湾处理的情形，我们也询问Pure Storage，他们表示已通知客户，并正与他们密切合作以解决任何相关的问题。

根据漏洞的CVSS风险评分高低而言，最严重的是分数达到满分的CVE-2024-0001、CVE-2024-0002。其中，CVE-2024-0001影响6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray，起因是存储设备初始化过程当中，用于数组配置的本机帐号仍维持启动的状态，使得攻击者有机会借此得到权限提升。

另一个漏洞CVE-2024-0002则与高权限帐号有关，攻击者有机会借此远程存取磁盘数组。该漏洞影响的产品是FlashArray的特定版本，涵盖5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版，以及6.5.0版FlashArray。

值得留意的是，CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的严重程度也很高，这些漏洞的CVSS风险评估皆达到9.1分。其中的CVE-2024-0003，攻击者可借由远程管理服务建置特权帐号，另外两个漏洞，则能让攻击者远程运行任意命令。

纵观受到上述漏洞影响的产品，FlashArray是最大苦主，FlashBlade用户要注意CVE-2024-0005的风险。