东方通 TongWeb 应用服务器 ejbserver 远程代码执行漏洞，攻击者可以利用该漏洞执行任意代码，进而控制整个服务器。

若应用没有用到 EJB 远程服务，也不升级 TongWeb，则可以设置如下参数:-Dcom.tongweb.tongejb.server.httpd.ServerServlet.activated=false 若应用使用了 EJB 远程服务，则注意配置如下：EJB 黑名单 -Dtongejb.serialization.class.blacklist 中不允许序列化类EJB 白名单 -Dtongejb.serialization.class.whitelist 允许的序列化类EJB 客户端 IP 白名单 -Dremote.clientIp.whitelist 同时打补丁《TongWeb应用服务器关闭web应用端口EJB服务补丁》，补丁链接见：https://www.tongtech.com/dft/download.html