ببینید دوست عزیز

طرف یه لینکی میفرسته که حاوی اکسپولیت این باگ هست و بعد مثلا شما کلیک کنی اون موقعه که هک میشید

باگی که کوکی سرقت میکنه XSS هست نه CSRF