¿Alguien puede agregar contexto al tema? A primera vista, me parece que este problema representa un déficit fundamental en las fuerzas que fomentan la codificación segura en el desarrollo de código abierto. ¿Es ese el caso y / o es este ejemplo común o un raro atípico?
Observo que CVE-2007-6752 publicado el 28 de marzo de 2012 como una vulnerabilidad de CSRF en revisión tiene el estado:
** DISPUTADO ** Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en Drupal 7.12 y anteriores permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que finalizan una sesión a través del usuario / cierre de sesión URI. NOTA: el proveedor cuestiona la importancia de este problema, considerando el "beneficio de seguridad contra la complejidad de la plataforma y el impacto en el rendimiento" y concluye que no se planifica un cambio en el comportamiento de cierre de sesión porque "para la mayoría de los sitios no vale la pena compensar. "
Al tratar de entender el hecho de que el CVE se remonta a 2007, encontré que Red Hat lleva un informe de error relacionado enlace señalando que no hay una solución en sentido ascendente y "Eek. What a tempest ... "Esa entrada comparte un enlace a cinco años de diálogo de error en Drupal enlace que sugiere que el comentario de Eek es más apropiado.
¿Puede alguien explicarme el pensamiento detrás de la respuesta de compensación de complejidad de Drupal a una vulnerabilidad CSRF aparentemente reconocida? ¿Es solo un caso simple de la limitación "No puede llegar allí desde aquí" en un producto de código abierto popular? ¿Importa o es solo un problema trivial que estoy malinterpretando?