Mein erster öffentlicher Exploit-Report:
Drupal Security Fix.
Fast hätte ich es vergessen, das habe ich nämlich vor gut 12 Monaten berichtet. Eine Woche bevor Serendipity ein ähnliches Loch nach einem Userbericht innerhalb von 48 Stunden behoben hatte, und XSRF-Angriffsvektoren auch bei anderen Systemen die Runde machten.
Schade, dass Drupal so lange gebraucht hat - aber nett, das man mich per E-Mail informiert hat.
Grundsätzlich ist das alles eher eine theoretische Sache, denn XSRF-Lücken bestehen grob geschätzt bei 80% aller freien PHP-Anwendungen. Kein Grund natürlich, das nicht zu fixen. Typo3 ist übrigens nur davor geschützt weil es ein grauenhaftes Frame-Konzept hat.