Cita: ¿Eso que propones que debilidad daría? Eso lo vería el mismo atacante, ¿pero que ve?, datos de cookie, ¿y de quienes son esas cookies? del mismo atacante. Ya que ese script se le ejecutaría al mismo atacante, y no a otra persona.
Sí y no, el atacante puede inyectar un <script> que simplemente haga una petición hacia un servidor conocido y le envíe datos del usuario que está visualizando el documento.
El atacante no tiene por qué ejecutar el código, digamos que tienes un blog muy simple con comentarios y no limpias el HTML. Entonces un atacante deja ahí su script y otro usuario al momento de cargar los comentarios ejecutará dicho script, etc. El atacante sólo ha dejado la carnada y otro más muerde el anzuelo.
Amiancht, te sugiero documentarte al respecto de XSS y CSRF (XSRF) para que comprendas cómo funcionan.