東方通TongWeb多個(gè)歷史漏洞，漏洞威脅等級(jí)：高危。

東方通TongWeb存在任意文件上傳、遠(yuǎn)程代碼執(zhí)行等多個(gè)歷史漏洞，可能會(huì)導(dǎo)致信息泄漏、任意代碼執(zhí)行等危害。

（一）漏洞影響范圍：

東方通TongWeb老版本

（二）漏洞修復(fù)建議：

一是暫時(shí)關(guān)閉管理控制臺(tái)（默認(rèn)9060端口）或設(shè)置訪(fǎng)問(wèn)策略，僅允許可信的IP地址訪(fǎng)問(wèn)管理控制臺(tái)。如暫時(shí)不需要使用管理控制臺(tái)，可在/conf/tongweb.xml中關(guān)閉管理控制臺(tái)，將status的值設(shè)置為stopped，<http-listener name="'system-http-listener'"port="9060"status="'stopped">；

二是暫時(shí)關(guān)閉JMX（默認(rèn)7200端口）或設(shè)置訪(fǎng)問(wèn)策略，僅允許可信的IP地址訪(fǎng)問(wèn)JMX。若不使用JMX 7200端口采集Tongweb監(jiān)控值，可關(guān)閉JMX端口，/conf/tongweb.xml中可關(guān)閉JMX，enabled設(shè)為false，<jmx-service port="7200"address="127.0.0.1"protocol="rmi"enabled="false"/>；

三是建議用戶(hù)留意官方公告，及時(shí)升級(jí)到最新版本：https://tongtech.com/dft/download.html##，或聯(lián)系官方售后提供產(chǎn)品補(bǔ)丁包及產(chǎn)品升級(jí)包安裝咨詢(xún)、遠(yuǎn)程技術(shù)支持或上門(mén)服務(wù)支持，聯(lián)系方式可參考：https://tongtech.com/dft/newsDetail.html?id=102195