本週Pure Storage發布資安公告，指出旗下儲存系統FlashArray和FlashBlade存在5項重大層級的漏洞，其中有2個CVSS風險評分達到了10分（滿分）的程度，可說是相當危險。這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取，甚至有可能破壞儲存設備的運作，該公司已發布新版軟體進行修補。

對於這些漏洞在臺灣處理的情形，我們也詢問Pure Storage，他們表示已通知客戶，並正與他們密切合作以解決任何相關的問題。

根據漏洞的CVSS風險評分高低而言，最嚴重的是分數達到滿分的CVE-2024-0001、CVE-2024-0002。其中，CVE-2024-0001影響6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray，起因是儲存設備初始化過程當中，用於陣列配置的本機帳號仍維持啟動的狀態，使得攻擊者有機會藉此得到權限提升。

另一個漏洞CVE-2024-0002則與高權限帳號有關，攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是FlashArray的特定版本，涵蓋5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版，以及6.5.0版FlashArray。

值得留意的是，CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的嚴重程度也很高，這些漏洞的CVSS風險評估皆達到9.1分。其中的CVE-2024-0003，攻擊者可藉由遠端管理服務建置特權帳號，另外兩個漏洞，則能讓攻擊者遠端執行任意命令。

縱觀受到上述漏洞影響的產品，FlashArray是最大苦主，FlashBlade用戶要注意CVE-2024-0005的風險。