漏洞概述 | |||
漏洞名称 | 东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞 | ||
漏洞编号 | QVD-2025-44295 | ||
公开时间 | 2025-11-05 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.8 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:攻击者无需任何认证即可利用此漏洞完全控制受影响服务器,执行任意系统命令、安装恶意程序、窃取敏感数据或作为跳板进一步渗透内部网络。 | |||
01 漏洞详情
影响组件
TongWeb应用服务器是北京东方通科技股份有限公司开发的企业级Java应用服务器产品,支持Java EE规范,提供EJB、JMS、Web Service等企业级应用服务。
漏洞描述
近日,奇安信CERT监测到官方修复东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞(QVD-2025-44295),该漏洞源于EJB远程服务默认开启并对外暴露ejbserver接口,该接口在进行反序列化操作时缺乏严格的安全校验机制,未能有效过滤和验证序列化数据中的恶意代码。攻击者可通过网络直接访问该接口,利用Java反序列化机制中的缺陷执行任意代码。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
7.0.0.0 <= TongWeb <= 7.0.4.9_M9
6.1.7.0 <= TongWeb <= 6.1.8.13
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞(QVD-2025-44295),截图如下:
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞(QVD-2025-44295)关联的国内风险资产总数为1304个,关联IP总数为347个。国内风险资产分布情况如下:
05 处置建议
安全更新
官方已发布安全公告,请及时按照官方公告指示进行加固。
公告链接:https://www.tongtech.com/newsDetail/102461.html
临时缓解措施:
1.若应用没有用到 EJB 远程服务,也不升级 TongWeb,则可以设置如下参数:
-Dcom.tongweb.tongejb.server.httpd.ServerServlet.activated=false
2.若应用使用了 EJB 远程服务,则注意配置如下:
EJB 黑名单 -Dtongejb.serialization.class.blacklist 中不允许序列化类
EJB 白名单 -Dtongejb.serialization.class.whitelist 允许的序列化类
EJB 客户端 IP 白名单 -Dremote.clientIp.whitelist
同时打补丁《TongWeb应用服务器关闭web应用端口EJB服务补丁》,补丁链接见:https://www.tongtech.com/dft/download.html
06 参考资料
[1]https://www.tongtech.com/newsDetail/102461.html
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
