Насколько я знаю Кук в базе нету ....
А про уязвимость скажу так :
Если включены опции "Enable Email features" и "Allow Users to Email Other Member"
И если правильно сформулировать запрос то ты можеш украсть у жертвы куки,которые прийдут на снифер /

Тебе и неудасься розшифровать хеши с солью онлай сервесами