El ejemplo de los blogs, tiene sentido ya que se guardan los comentarios y son visibles para otros usuarios, y donde el atacante puede meter mano en cookies ajenas. Eso si lo tengo claro.

Sin embargo, en el caso expuesto. El echo, se lo daria a la persona que hace la petición http. Por lo que no lo veía muy claro. Por lo que el ejemplo que dabas a a enteder, el alert lo va a ver la misma persona que lo ejecuta. En ese caso, no hay problema de seguridad, ya que el mismo usuario que navega ve su propia información.

Pero supongamos, que en vez de ese sencillo javascript que pusistes, ponemos uno más elaborado. En vez de hacer un alert, hago una petición ajax a un servidor ajeno, enviando la información de la cookie, o cualquier otra acción de usuario, como por ejemplo, datos de login. Y luego, paso el enlace malicioso a un usuario de esa página, que inocentemente pica en él, a ese usuario en concreto se le inyectaria el javacript malicioso. Entonces aquí yo tendría acceso a sus datos ya que los recibiria el servidor ajeno bajo mi control. Ahí está la vulnerabilidad.

Pero bueno, yo solo preguntaba, en el caso concreto no se me ocurría la forma en que se pudiera usar esa vulnerabilidad como ataque, pero ya se me vino a la cabeza jaja. Por eso siempre prevengo todo aunque no se me ocurra como pueda hacerse un ataque. Siempre es bueno ser un tanto paranoico en PHP, sobre todo cuando hacer una API que va a manejar datos delicados.

Un saludo y gracias.