关键漏洞信息 报告编号: TALOS-2024-2117 漏洞名称: Socomec Easy Config System User profile management authentication bypass vulnerability CVE编号: CVE-2024-45370 日期: December 1, 2025 摘要 存在一个认证绕过漏洞,位于Socomec Easy Config System 2.6.1.0的用户配置文件管理功能中。通过特制的数据库记录可导致未经授权的访问。攻击者能够修改本地数据库以触发该漏洞。 经验证的易受攻击版本 Socomec Easy Config System 2.6.1.0 产品URL Easy Config System - https://www.socomec.us/en-us/easy-config-system-software CVSSv3分数 7.3 - CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N CWE CWE-302 - 身份验证绕过由于错误地假定数据不可变 详细信息 Easy Config System配置软件让用户能够配置Socomec测量和负载断路设备,同时实时查看所有电气量。它提供连接产品的自动检测和多设备的同时配置等功能。可以通过USB电缆本地或通过以太网网络远程访问配置,无需现场配置。 该软件包含两个已记录的用户配置文件:用户和管理员,以及一个未记录的配置文件称为Socomec。基于当前登录的用户配置文件,应用程序限制了可用的配置项目。程序依赖于本地的sqlite数据库,当向应用程序呈现用户登录提示时。该数据库包含了每个用户配置文件的密码哈希和一个字段,指示该用户是否需要输入密码,称为 。攻击者如果有系统访问权限可以修改数据库文件,将 字段设置为0,从而禁用指定用户账号的密码输入要求。这使攻击者能够选择他们希望访问的用户配置文件而无需提供密码。 厂商回复 厂商建议:https://www.socomec.fr/s sites/default/files/2025-11/CVE-2024-45370 ECS-2610 CVSS31 VULNERABILITIES_2025-11-19-09-45 29_English PLURL 3.pdf 时间轴 2025年1月13日:厂商披露 2025年11月19日:厂商发布补丁 2025年12月1日:公开发布 致谢 由Cisco Talos的Kelly Patterson发现。