Struts2 S2-037(CVE-2016-4438)漏洞分析

昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析(好像是他们提交的?),和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞,而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断,而且感觉rest插件配置有点麻烦,就没有跟S2-033这个鸡肋。但是没想到居然还有后续,这次是想偷懒也没得躲了╮(╯▽╰)╭,下面就让我们来看看这个漏洞到底是个什么玩意儿~~