Aquí hay una diferencia entre el lado del servidor y el lado del cliente. Desde que habla de barras de desplazamiento y editores de reducción, supongo que este es el lado del cliente. Me preocuparía menos los problemas del lado del cliente, ya que la mayoría de los navegadores modernos se ocupan rápidamente de los problemas de seguridad. Además, los navegadores intentan limitar los riesgos de seguridad y, en ocasiones, actúan en nombre del usuario (malware detectado, solicitudes xhr no válidas).
Lado del cliente
Las puertas traseras son poco comunes para estas bibliotecas o cualquier parte del software del lado del cliente. Aunque existen, HTML5 y la web moderna han impulsado a los navegadores a implementar algunos trucos para evitar actividades maliciosas, por ejemplo; mismo origen, contenido mixto, bloques emergentes y avisos iframe, la eliminación de flash, activex y applets, y así sucesivamente ...
Lado del servidor
Serverside es otra historia. Si utiliza bibliotecas de terceros (ya sean de código abierto o no), expone el entorno en el que se ejecuta la aplicación. Con frecuencia, las técnicas empleadas, como el bloqueo, las autorizaciones automáticas, los permisos por directorio de aplicación y por base de datos (operación) minimizan la posibilidad de corromper con éxito / acceder a datos y / u otros datos ambientales.
Para responder a la pregunta, es un problema legítimo que puede causar un error catastrófico. No es fácil / imposible verificar cada pieza de código que acaba de hacer. Hoy en día los marcos dependen en gran medida de complementos, extensiones y bibliotecas. Opensource no equivale a correcciones de seguridad rápidas, pero podemos suponer que cuanto más gente use algo, más rápido se informan y corrigen los errores. Coloque sistemas para limitar las posibilidades cuando sí salga mal. Tenga un plan de desastre, diseñe para fallar, use los registros (de auditoría), haga que los demonios rastreen los registros de acceso, etc. Cuando se trata de puerta trasera, la gente a menudo parece olvidar el firewall saliente.