亲历struts2漏洞
struts2-core-xxx.jar中struts-default.xml中
defaultStack和paramsPrepareParamsStack的
<interceptor-ref name="params">
<param name="excludeParams">dojo\..*,^struts\..*</param>
</interceptor-ref>
改为
<interceptor-ref name="params">
<param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param>
</interceptor-ref>

总之就是要保证所有action都被应用了
<interceptor-ref name="params">
<param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param>
</interceptor-ref>
这个参数过滤器
1 楼 hahaso 2010-08-20 这个方法已经失效，目前的xwork好像已经包含了漏洞补丁。