Es potencialmente un ataque de DOS, aunque solo para algunos escenarios muy específicos. Si Alice quiere darle acceso a Bob a su cuenta de Netflix, pero no quiere revelar la contraseña, puede iniciar sesión en Netflix en la computadora de Bobs. Si Bob visita MaliciousLogoutSite.com, se desconectará de Netflix aunque no haya tenido la intención de hacerlo.
También hay cierto potencial para interrumpir a los usuarios. Si Alice está viendo una película en Netflix, luego navega por casualidad a MaliciousLogoutSite.com, se desconectará de Netflix y se detendrá la película.
Para Netflix, esto es una molestia menor, pero ¿qué sucede si Alice se registra en un sitio de negociación de acciones y Bob quiere evitar que Alice compre o venda acciones en un momento crítico? Todo lo que Bob tiene que hacer es enviar a Alice un enlace a un sitio web que la desconecta de su cuenta de operaciones y debe volver a iniciar sesión.
No conozco ninguna razón por la que una acción de cierre de sesión no deba protegerse de las acciones CSRF, pero no lo he pensado tan profundamente.