Reddit 中的跨站请求伪造(CSRF) 漏洞迫使用户查看成人内容。中等严重性的安全漏洞禁用了打开某些设置的选项，这意味着任何选择限制成人内容的用户都可能被恶意黑客引导到它。一份错误报告写道：“对https://old.reddit.com/over18的状态更改POST请求？缺乏适当的 modhash验证器，使敏感操作容易受到CSRF攻击。攻击者可以诱骗用户执行该操作，启用/禁用“我已超过18岁”并愿意在受害者帐户中查看成人内容偏好。”

复制步骤从受害者创建Reddit帐户开始，导航到 https://old.reddit.com/prefs/并关闭声明用户已满18岁并愿意查看成人内容的选项。

接下来，用户访问“工作不安全”（NSFW）subreddithttps://www.reddit.com/r/，其中有一个窗口询问用户是否想查看成人内容。

如果他们随后打开恶意内容的精心制作的HTML文件，他们的设置将被更新，他们将在不知不觉中查看NSFW内容。

该问题已得到修补，安全研究人员因报告该问题而获得了500美元的漏洞赏金奖励。

更多技术细节可以在HackerOne文章中找到。