Struts2の脆弱性がアナウンスされていたので検証してみました。またRCEみたいです。 https://cwiki.apache.org/confluence/display/WW/S2-048 既にというかcwikiの該当のページが公開される前からチラホラと噂が流れてて公開とほぼ同じかそれより先のタイミングで攻撃コードも出回りはじめていたのでなんだかなーという気持ち。 ちなみにStruts 2.3.32で検証しました。 偉い人が怖いので一部関係無い箇所も黒く塗りつぶしていますがidコマンドの実行結果が帰ってきていることが分かるかと思います。 上記のリンク先にも記載されていますが、今回の脆弱性はS2-045のときのようにStruts2を使用していれば存在しないページにも効くわけではなく、Struts 1 pluginを利用している場合のみ脆弱性が存在しているようです。 簡単にまとめると脆