La vulnerabilidad es causada por Controller general del objeto como un parámetro
solución:
Añadir la siguiente clase controlador de código:
@InitBinder()
public void initBinder(WebDataBinder binder) {
binder.setDisallowedFields(new String[]{});
}
referencia: