自首次曝光八年多以来，潜伏在 Google Web Toolkit 开源应用程序框架中的未经身份验证的 Java 反序列化漏洞仍未修补，可能需要对易受攻击的应用程序进行基本框架修复。

GWT 是一组开源工具，允许 Web 开发人员使用 Java 创建和维护 JavaScript 前端应用程序。根据技术跟踪平台 Enlyft 的数据，大约有 2,000 家公司在使用 GWT，其中大多数都是小型企业，拥有 1 到 10 名员工，资金在 100 万到 10 美元之间年收入。

在新的研究中，Bishop Fox 管理负责人 Ben Lincoln 表示不相信GWT 漏洞（允许远程执行代码）尚未被修复。这些年来一直没有得到修复，并补充说Java 反序列化错误类似于Spring4Shell 漏洞于 2022 年发现。

“如果没有发布补丁，那么至少易受攻击的框架功能（可能）已被标记为已弃用，并且框架文档（可能）提供使用更新的替代方案替换易受攻击的代码的建议，”林肯写道。 “至少，框架开发人员无疑可以更新“入门”内容教程和其他文档来表明使用易受攻击的功能而不是突出显示功能的固有危险。”

自 2015 年首次公开讨论 GWT 缺陷以来，代码维护者未采取任何此类措施，Lincoln 表示，他在他的帖子中详细描述了如何在现实世界中利用易受攻击的 GWT 应用程序。

漏洞应用缓解措施

Lincoln 警告说，缓解暴露的 Web 应用程序将是一项艰巨的任务。

该漏洞处于如此基本的水平，“保护使用此框架编写的易受攻击的 Web 应用程序可能需要对这些应用程序或框架本身进行架构更改”。他在研究中解释道。

首先，Lincoln 告诉 Dark Reading，运行易受攻击的应用程序的管理员需要为最坏的情况做好计划并从那里开始工作。

“[他们应该问]如果我们的企业必须立即阻止对此应用程序的访问，并且在采取补救措施之前不恢复访问，我们会怎么做？”林肯说。

更广泛地说，为了避免使用这些类型的已知的、未修补的缺陷，他建议观察第三方组件运营商对修补的反应如何。

“当它们导致‘不是我们的问题’时结果类型，而不是补丁，评估您的组织是否同意该立场，或者是否值得更换组件、创建带有补救措施的自定义版本等，”林肯推荐。 “如果它被认为是低风险的，则在内部将其作为漏洞进行跟踪，至少每年进行一次审查，看看组织是否仍然得出相同的结论。”

他补充道，“对于内部开发的应用程序，定期检查它们所基于的第三方组件列表，并考虑从任何流行度或开发人员活动似乎正在减弱的地方迁移，即使它们是这样的。” #39；没有被正式放弃或不受支持。”