臺廠普萊德交換器存在重大漏洞

9月30日台灣電腦網路危機處理暨協調中心（TWCERT/CC）發布資安公告，指出臺廠普萊德（Planet）旗下的交換器存在12項中、高風險漏洞，CVSS風險評分界於4.8至9.8，有可能導致遠端程式碼執行、未經授權存取、阻斷服務（DoS）。對此，普萊德已針對部分機種發布新版韌體修補。

這些漏洞影響的範圍涵蓋3款機種，包含搭配2.0版硬體的GS-4210-24PL4C、搭配3.0版硬體的GS-4210-24P2S，以及搭配1.0版硬體的IGS-5225-4UP1T2S。值得留意的是，前兩款機型都有修補漏洞，至於IGS-5225-4UP1T2S，由於其產品生命週期已經結束，該公司不再支援，因此，他們本次並未提供修補，而是呼籲用戶應更換設備。

根據CVSS風險評分高低，最嚴重的是缺乏身分驗證漏洞CVE-2024-8456，這項漏洞發布的原因，在於交換器韌體上傳及下載功能缺乏適當的存取控制，未經身分驗證的攻擊者可遠端下載、上傳韌體或系統組態，而有機會得到設備完全控制權，影響GS-4210-24PL4C、GS-4210-24P2S，風險評分達到9.8。

另外4個超過8分的高風險漏洞，分別是跨網站請求偽造（CSRF）漏洞CVE-2024-8458、寫死密碼漏洞CVE-2024-8448與CVE-2024-8450，以及密碼防護強度不足漏洞CVE-2024-8455，CVSS風險評分介於8.8至8.1。值得留意的是，這些漏洞主要影響GS-4210-24PL4C、GS-4210-24P2S，但其中的CVE-2024-8455，也影響IGS-5225-4UP1T2S。