Последствия могут быть разными. Сниффер тащит кукисы. Тем самым, злоумышленник может сначала стащить, а потом подменить кукисы на админские и тем самым стать администратором. Устранять в любом случае надо =) Чтобы неповадно было). Ах да.. если это активная XSS, то можно вытворять всякие шалости.. например сделать на джаве редирект на свой сайт при заходе на страничку с xss..