Я бы предположил, что, вероятно, это ложное срабатывание, если вы не изменяете данные. Объяснение Fortify для этого состояния (мой акцент)
Действия контроллера ASP.NET MVC, изменяющие данные путем записи, обновления,
или удаление может быть полезно, если вы ограничены в принятии POST
глагол. Это увеличивает сложность подделки межсайтовых запросов.
случайный переход по ссылкам не приведет к
выполнить.
Судя по сигнатуре вашего метода, похоже, что вы возвращаете данные, основанные на запросе, а не модифицируете их, поэтому я думаю, что в вашем случае это можно считать ложноположительным.