Ну возможно у вас стоит и приписка к IP и повторная авторизация в админку или что-то еще.
было дело давно как-то полазив на сайте одного из хостеров обнаружил пассивную xss, там же был опенсорс форум, проводив админа форума на xss получил его, куки, но в админку не зайти изза привязки к IP. Зная сорцы форума я составил xss, чтобы админ добавил нового админа. Опять проводив админа на скрипт, я вошел в админку, в которой можно было добавлять файлы на сайт.
Я к тому, что XSS будет всегда актуальной багой. И не обращать на нее внимание сверх невежества.