一、 漏洞 CVE-2025-34093 基础信息
漏洞信息
                                        # 聚联信HDX系列电话会议系统通过lan traceroute进行telnet命令注入漏洞

## 概述
Polycom HDX Series 在 Telnet 访问的命令行界面中存在一个认证命令注入漏洞。攻击者可以通过注入 shell 代谢字符(如 `lan traceroute` 命令)来执行任意系统命令,最终实现以 root 用户身份的远程代码执行。

## 影响版本
Polycom HDX Series(具体版本未详细列出)

## 细节
在 `devcmds` 控制台输入的 `lan traceroute` 命令未进行恰当的输入验证,允许注入恶意代码。该漏洞存在于 Telnet 访问开启,并且该访问无需身份验证或攻击者获得了访问凭证的情况下。

## 影响
攻击者可以利用此漏洞在受感染系统上以 root 用户的权限执行任意系统命令,从而可能导致系统完全被控制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Polycom HDX Series Telnet Command Injection via lan traceroute
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An authenticated command injection vulnerability exists in the Polycom HDX Series command shell interface accessible over Telnet. The lan traceroute command in the devcmds console accepts unsanitized input, allowing attackers to execute arbitrary system commands. By injecting shell metacharacters through the traceroute interface, an attacker can achieve remote code execution under the context of the root user. This flaw affects systems where Telnet access is enabled and either unauthenticated access is allowed or credentials are known.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Polycom HDX Series 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Polycom HDX Series是美国Polycom公司的一系列高清视频会议系统。 Polycom HDX Series存在操作系统命令注入漏洞,该漏洞源于devcmds控制台中的命令注入问题,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34093 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-34093 的情报信息