【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞安全通告
2025-11-13 15:38 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
2025年11月,东方通官方发布补丁修复了长亭科技安全研究员发现的远程代码执行漏洞。TongWeb在处理EJB协议数据的时候,没有对请求的数据进行校验,导致攻击者可以通过构造恶意的反序列化数据在服务器上执行任意代码。由于该漏洞利用难度较低,建议相关用户及时更新安全补丁进行修复。
漏洞描述
Description
01
漏洞成因
由于TongWeb应用服务器默认暴露了可访问EJB服务的Web端口,并且在处理EJB协议数据的时候,没有对请求的数据进行校验,导致攻击者可以通过构造恶意的反序列化数据执行任意代码,从而进一步控制服务器。
漏洞影响
攻击者可在服务器上执行任意代码,可能导致服务器被完全控制、数据泄露或业务系统沦陷。
处置优先级:高
漏洞类型:远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 未公开
修复复杂度:低,官方提供补丁修复方案
影响版本
Affects
02
7.0.0.0<=TongWeb<=7.0.4.9_M9
6.1.7.0<=TongWeb<=6.1.8.13
解决方案
Solution
03
临时缓解方案建议不要将 TongWeb EJB 服务端口暴露在不可信网络中,在确认不影响业务的情况下可以考虑配置 TongWeb 对外部禁用EJB 协议或增加黑白名单限制
建议不要将 TongWeb EJB 服务端口暴露在不可信网络中,在确认不影响业务的情况下可以考虑配置 TongWeb 对外部禁用EJB 协议或增加黑白名单限制
升级修复方案官方已发布安全补丁,下载地址:
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:默认支持该产品的指纹识别,预计2025年11月13日支持自定义PoC检测
雷池:默认支持检测
全悉:支持部分利用检测,完整检测预计2025年11月13日发布更新包支持
无锋:默认支持该产品的指纹识别,预计2025年11月13日支持PoC检测
官方已发布安全补丁,下载地址:
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC检测
洞鉴:默认支持该产品的指纹识别,预计2025年11月13日支持自定义PoC检测
雷池:默认支持检测
全悉:支持部分利用检测,完整检测预计2025年11月13日发布更新包支持
无锋:默认支持该产品的指纹识别,预计2025年11月13日支持PoC检测
时间线
Timeline
06
2025年9月25日 长亭科技安全研究员上报漏洞至监管平台
2025年11月5日 东方通官方发布公告
2025年11月13日 长亭安全应急响应中心发布通告
长亭应急响应服务
目录
最新
- 【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
- 【在野利用】Dify Docker部署仍存在React2Shell风险
- 【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)
- 【原创0day】东方通应用服务器 EJB 反序列化远程代码执行漏洞安全通告
- 【已复现】泛微e-cology 前台SQL注入漏洞
- 【已复现】用友 U8 Cloud pubsmsservlet 远程代码执行漏洞安全通告
- 【已复现】Oracle E-Business Suite 远程代码执行漏洞安全通告(CVE-2025-61882)
- 【已复现】用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞安全通告