Apache Struts2 在使用 REST 插件的情况下，攻击者使用 REST 调用恶意表达式可以远程执行代码。该漏洞编号为 CVE-2016-4438，目前命名为 S2-037。,黑客可以利用漏洞直接执行任意代码，绕过文件限制，上传文件，执行远程命令，控制服务器，直接盗取用户的所有资料，当 Struts2 开启 devMode 模式时，将导致严重远程代码执行漏洞。如果 WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。

升级至最新版本https://struts.apache.org/download.cgi#struts2328%E3%80%82