Bueno al parecer todo siguen pensando igual xD, supongo que es una cultura ya xD.
Casi todos los mejores vectores de ataques a CMS o sitios, incluyen combinaciones de vectores nomas.
Igual de que te sirve usar un XSS permanente para modificar visualmente el HTML/CSS de un sitio y encima que solo funcionara en una parte especifica. Si eso caracterizara a XSS, entonce no estaría ni en el TOP10.
Muchas veces cuando alguien encuentra un CSRF suelen ser mucho mas creativos, investigan mas el funcionamiento del sistema para hacer el máximo daño posible y esto pasa simplemente porque esto limita a las personas. Pero cuando encuentran XSS se limitan a pensar que si no es permanente entonce no pueden hacer un defacer y por lo tanto no sirve de nada, pero lo peor es que mediante XSS puedes realizar CSRF cosa que se sabe pero bueno xD. Incluso peor ya que el XSS sea permanente o reflejado no les dan importancia. Estoy 100% seguro que usualmente cuando alguien encuentra un CSRF escala mucho mas en el sistema que cuando encuentra un XSS, pero claro eso no aplica a todas las personas.
Saludos.