struts2の脆弱性問題、久々にアップデートしたら、びっくりマーク"!"後にメソッド名を指定する方法が効かなくなっていた。いろいろ調べてたら情報が見つかった。

Coverity Security Research Lab

strutsタグ直下に記載しておけばいい。
<constant name="struts.enable.DynamicMethodInvocation" value="true" />

しかしこの手法は、今後の継承元の上位クラスのメソッドのアップデートによって脆弱性が漏洩する可能性があるので、避けたほうがいいと思います。paramsでさえあんなことになったんだから。