东方通应用服务器 EJB 反序列化远程代码执行漏洞

TongWeb应用服务器是一款标准、安全、高可用并具丰富功能的企业级应用服务器，为企业级应用提供了便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的易管理等关键支撑。
2025年11月， 东方通官方发布补丁修复了长亭科技安全研究员发现的远程代码执行漏洞。TongWeb在处理EJP协议数据的时候，没有对请求的数据进行校验，导致攻击者可以通过构造恶意的反序列化数据在服务器上执行任意代码。由于该漏洞利用难度较低，建议相关用户及时更新安全补丁进行修复。

攻击者可在服务器上执行任意代码，可能导致服务器被完全控制、数据泄露或业务系统沦陷。

一、升级修复方案
官方已发布安全补丁，下载地址：
https://www.tongtech.com/dft/download.html
二、临时缓解方案
建议不要将 TongWeb EJB 服务端口暴露在不可信网络中，在确认不影响业务的情况下可以考虑配置 TongWeb 对外部禁用EJB 协议或增加黑白名单限制