DynaActionFormはDynaBeanをimplementsしていて、commons-beanutilsのBeanUtilsBean#setPropertyのコードで別のルートに進む。struts-config.xmlに設定した属性しか設定できないので、セキュリティ的に正しい実装になっているみたい

        // Calculate the property type
        if (target instanceof DynaBean) {
            DynaClass dynaClass = ((DynaBean) target).getDynaClass();
            DynaProperty dynaProperty = dynaClass.getDynaProperty(propName);
            if (dynaProperty == null) {
                return; // Skip this property setter ← 設定せずに終了してしまう
            }
            type = dynaProperty.getType();
        } else if (target instanceof Map) {