OGNLのなんでもできる便利さは実装の甘さにより脅威に対して無防備となる可能性がありましたね。 https://www.sec-consult.com/files/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txt 2.3.1 など相当枯れたと思われたバージョンでも外部からなんでもできてしまうセキュリティホールが多数(笑)発見されるなど恐ろしすぎてとても業務で使えるものではないかもしれません。 Struts2の設定で default-interceptor-ref を指定するといちいち個別の Action に interceptor-ref を書かないで済むので package で default-interceptor-ref を指定して package 内の Action ではすべて共通のinterceptor