文章总结： 该文档披露了东方通TongWeb的EJB服务接口存在反序列化远程代码执行漏洞，攻击者可向特定接口发送恶意数据获取系统权限。文中提供了Fofa语法、Nuclei复现工具及修复建议，包括升级版本与访问控制。但核心POC需跳转外部链接获取，技术细节较浅，且文末包含大量认证代办与漏洞提交的商业推广内容，存在较强营销性质。 综合评分： 50 文章分类： 漏洞分析,漏洞预警

【已复现】东方通 TongWeb 的 EJB 服务接口存在反序列化远程代码执行漏洞

蟑螂恶霸 蟑螂恶霸

momo安全

2026年2月24日 11:49 广东

免责声明

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动，由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果均与文章作者及本账号无关，本次测试仅供学习使用。如有内容争议或侵权，请及时私信我们！我们会立即删除并致歉。谢谢！

一、漏洞描述

东方通 TongWeb 的 EJB 服务接口存在反序列化远程代码执行漏洞。攻击者可通过向 /ejbserver/ejb 发送构造后的序列化数据触发命令执行，进而获取目标系统权限。

二、影响版本

东方通 TongWeb（具体受影响版本请以厂商官方公告为准）

三、Fofa语法

header="TongWeb Server" || banner="Server: TongWeb Server"

四、漏洞复现

nuclei 批量复现：

nuclei -t tongweb-ejb-rce-multi.yaml -l urls.txt

poc:

访问www.momosec.cn 搜索**东方通** 获取 poc

五、漏洞修复

1. 关注 TongWeb 官方安全通告，及时升级到最新安全版本。
2. 对 /ejbserver/ejb 接口进行访问控制，限制外网直接访问。
3. 在边界设备启用 WAF/IPS，拦截异常序列化流量。
4. 排查服务器日志，重点关注异常 application/octet-stream 请求和可疑命令执行痕迹。

六、漏洞脚本下载

访问www.momosec.cn 搜索东方通 获取 poc

七、技术服务推广

✅Cn*d🀄️高提交到个人账户上，CNNVD中高 漏洞及一般、重要情报 支撑单位均可协助获得

✅CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等全网最低价。ISO27001、ITss服务项目经理报名等下证即可，可对公，可开专普票

✅需要私聊联系~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：momo安全 蟑螂恶霸 蟑螂恶霸《【已复现】东方通 TongWeb 的 EJB 服务接口存在反序列化远程代码执行漏洞》