2025-11-13 10:54 广东
-赛博昆仑漏洞安全风险通告-
TongWeb ejbserver反序列化漏洞风险通告
漏洞描述
TongWeb是一款全面符合Java EE、Jakarta EE最新标准规范、轻量易于使用、性能强大、具有高可靠性和高安全性的应用服务器产品,可适应各类企业应用的基础环境及多种主流应用框架,支撑从开发到生产的全应用生命周期,包括便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的管理等。
近日,赛博昆仑CERT监测到Tongweb ejbserver接口存在反序列化漏洞,由于默认情况下允许通过web端口访问ejbserver,并且反序列化黑白名单为空,导致未经过身份认证的攻击者可利用该漏洞在Tongweb服务器上通过反序列化执行代码,从而完全控制服务器。
漏洞名称 | TongWeb ejbserver反序列化漏洞 | ||
漏洞公开编号 | 暂无 | ||
昆仑漏洞库编号 | CYKL-2025-032642 | ||
漏洞类型 | 反序列化 | 公开时间 | 2025-11-05 |
漏洞等级 | 高危 | 评分 | 暂无 |
漏洞所需权限 | 无权限要求 | 漏洞利用难度 | 低 |
PoC状态 | 未知 | EXP状态 | 未知 |
漏洞细节 | 未知 | 在野利用 | 未知 |
影响范围
7.0.0.0<=TongWeb<=7.0.4.9_M9
6.1.7.0<=TongWeb<=6.1.8.13
漏洞复现
目前,赛博昆仑CERT已成功复现TongWeb ejbserver反序列化漏洞
防护措施
缓解措施
非必要情况不开启EJB服务
1:若应用使用了EJB 远程服务,添加启动配置:
-Dtongejb.serialization.class.blacklist 添加反序列化黑名单
-Dtongejb.serialization.class.whitelist 添加反序列化白名单
-Dremote.clientIp.whitelist 设置客户端IP白名单
2:若应用没有用到 EJB 服务,添加启动配置关闭EJB服务
-Dcom.tongweb.tongejb.server.httpd.ServerServlet.activated=false 设置为false
修复建议
目前,官方已发布修复补丁,建议受影响的用户尽快安装安全补丁。
下载地址:
https://www.tongtech.com/dft/download.html
技术业务咨询
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:cert@cyberkl.com
公众号:赛博昆仑CERT
时间线
2025年11月5日,官方发布公告
2025年11月13日,赛博昆仑CERT发布漏洞风险通告
技术业务咨询
邮箱:cert@cyberkl.com
