В этой статье 2013 года совместно с XSS используется эксплоит для браузера(Flash,Java). Такие уязвимости уже ушли в прошлое

Ну а XSS+RCE хорошая вещь, когда сайт жирный и админ заходит каждый день, а не раз в пол года в лучшем случае, как на г-но сайтах приведенных в теме