今回のStruts1の脆弱性の問題は、どちらかというとcommons-beanutilsの問題な気がする。commons-beanutilsはアクセス可能なプロパティは全て設定できてしまうのだが、使う側からすると自分が想定しているプロパティにのみ設定してほしいという要望はあるだろ…

DynaActionFormはDynaBeanをimplementsしていて、commons-beanutilsのBeanUtilsBean#setPropertyのコードで別のルートに進む。struts-config.xmlに設定した属性しか設定できないので、セキュリティ的に正しい実装になっているみたい // Calculate the proper…