Qualcuno può aggiungere contesto al problema soggetto? A prima vista, mi sembra che questo problema rappresenti una mancanza fondamentale nelle forze che incoraggiano la codifica sicura nello sviluppo open source. È questo il caso e / o questo esempio è comune o un raro carattere anomalo?
Rilevo che CVE-2007-6752 è stato rilasciato il 28 marzo 2012 elencato come sotto esame La vulnerabilità di CSRF ha lo stato:
** DISPUTED ** Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off."
Nel tentativo di farmi capire che il CVE risale al 2007, ho scoperto che Red Hat ha un bug correlato link sottolineando che non esiste una correzione a monte e "Eek. Che tempesta ... "Quella voce condivide un link a cinque anni di finestre di bug all'interno di Drupal link che suggerisce che il commento di Eek è più appropriato.
Qualcuno mi può illuminare sul pensiero alla base della compromissione della complessità di Drupal in risposta a una vulnerabilità CSRF apparentemente riconosciuta? È solo un semplice caso di limitazione "Non puoi arrivare da qui" in un popolare prodotto open source? Importa o è solo una questione banale che sto fraintendendo?