el XML es un archivo de texto, con lo cual no puede ser vulnerable, lo que si puede ser vulvenrable es si tu web service le muestra ese XML a una persona que no corresponde...
Un XML es texto plano, no puede haber seguridad ahí...La seguridad tiene que estar en la aplicación que genera ese texto plano...
viendo XSS en la wikipedia podrás leer esto
Cita: El problema está en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación.
Saludos