Pure Storage  指出旗下儲存系統FlashArray和FlashBlade存在5項重大層級的漏洞，其中有2個CVSS風險評分達到了10分（滿分）的程度，可說是相當危險，這些漏洞攻擊者有機會用來執行任意程式碼、未經授權存取，甚至有可能破壞儲存設備的運作，該公司已發布新版軟體進行修補。

 

根據漏洞的CVSS風險評分高低而言，最嚴重的是分數達到滿分的CVE-2024-0001、CVE-2024-0002。其中，CVE-2024-0001影響6.3.0至6.3.14版、6.4.0至6.4.10版的FlashArray，起因是儲存設備初始化過程當中，用於陣列配置的本機帳號仍維持啟動的狀態，使得攻擊者有機會藉此得到權限提升。

 

另一個漏洞CVE-2024-0002則與高權限帳號有關，攻擊者有機會藉此遠端存取磁碟陣列。該漏洞影響的產品是FlashArray的特定版本，涵蓋5.3.17至5.3.21版、6.0.7至6.0.9版、6.1.8至6.1.25版、6.2.0至6.2.17版、6.3.0至6.3.14版、6.4.0至6.4.10版，以及6.5.0版FlashArray。

 

值得留意的是，CVE-2024-0003、CVE-2024-0004、CVE-2024-0005的嚴重程度也很高，這些漏洞的CVSS風險評估皆達到9.1分。其中的CVE-2024-0003，攻擊者可藉由遠端管理服務建置特權帳號，另外兩個漏洞，則能讓攻擊者遠端執行任意命令。

 

縱觀受到上述漏洞影響的產品，FlashArray因為有5個弱點與其相關，用戶需確認目前版本是否存在這些漏洞，FlashBlade用戶更要注意CVE-2024-0005的風險。

 

參考資料: 

https://www.ithome.com.tw/news/165226

https://thehackernews.com/2024/09/progress-software-releases-patches-for.html