距离第一次被发现过了超过8年后，游荡在热门开源应用框架 Google Web Toolkit (GWT) 中的未认证 Java 反序列化漏洞至今仍未被修复，易受攻击的应用可能需要根本性的框架修复方案。

GWT 是一款开源工具集，可允许 Web 开发人员通过 Java 语言来创建和维护 JavaScript 前端应用程序。技术追踪平台 Enlyft 提到，目前约2000家企业都在使用 GWT，其中多数规模是1到10名员工，年收入在10美元至100万美元之间。

Bishop Fox 的高管 Ben Lincoln在最近发布的研究中提到，无法想象可导致远程代码执行 (RCE) 后果的 GWT 漏洞竟然还未修复，并提到该 Java 反序列化漏洞类似于在2022年发现的 Spring4Shell 漏洞。Lincoln 写道，“如补丁还未发布，则这个易受攻击的框架特性至少本已被标记为弃用，而该框架文档应提到用更新选择替换易受攻击代码的建议。至少，该框架的开发人员无疑可以更新‘开始’手册和其它文档，提示使用这些易受攻击特性带来的内在危险性，而不是强调突出这一功能。”

Lincoln 提到，与之相反，自2015年GWT问题被首次提及以来，代码维护人员并未采取以上任何一种措施。他在文章中详细说明了易受攻击的 GWT 应用程序如何可遭真实利用。

Lincoln 提醒称，缓解被暴露的 Web 应用的任务将十分艰巨。

该漏洞出现在如此根本性的位置，“保护通过该框架编写的易受攻击的 Web 应用将可能要求对这些应用或框架本身做出架构性的改变。”Lincoln 表示，首先，运行易受攻击应用程序的管理员需要为最糟糕的场景进行规划，并从这点开始着手。他指出，“他们应当思考如果企业必须立即拦截该应用的访问，直到缓解部署之后才能恢复访问，那么我们将如何应对？”更广泛地来说，为了避免这类已知的、未修复漏洞，他建议观察第三方组件运营人员的打补丁响应速度。

他提到，“当它们导向‘不是我们的问题’这类的结果，不是打补丁，而是要评估你所在的公司是否同意这一状态，或者是否可以替换该组件、或者是否创建带有修复方案的自定义版本等。如果被认为该漏洞是低风险级别，则至少每年内部将其追踪为漏洞，观察公司是否还是会得出一样的结论。”

他还表示，“对于自研应用程序，定期查看所依赖的第三方组件清单，考虑迁移热度下降或者开发活动下降的组件，即使这些组件并未被正式摒弃或不受支持。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~