El escenario que describió, en el que el formulario de inicio de sesión no incluye un token CSRF puede dar lugar a una situación en la que un atacante utiliza sus propias credenciales para registrar a la víctima en el la cuenta del atacante y si el usuario desconoce a qué cuenta está conectado, el atacante puede ver qué acciones realizó la víctima, incluido lo sugerido anteriormente, cualquier archivos confidenciales que la víctima podría haber subido.
Este ataque se llama como CSRF de inicio de sesión .
Wordpress no parece pensar que representa un riesgo. Dichos ataques han sido demostrados contra importantes compañías como Google y Yahoo.
De Wikipedia:
Iniciar sesión CSRF hace posible varios ataques nuevos; por ejemplo, un atacante puede iniciar sesión en el sitio con sus credenciales legítimas y ver información privada como el historial de actividades que se ha guardado en la cuenta. Este ataque se ha demostrado contra Google y Yahoo.
En general, sugeriría tener un mecanismo anti-CSRF para el formulario de inicio de sesión, ya sea que compruebe Origin o CSRF Tokens entre otros.
La fuente de la página wiki anterior:
enlace
Para obtener más información y otros escenarios de ataque , consulte
enlace