Зависит от приложения, но в принципе возможно. Например, если аппликация не использует одноразовые токен (CSRF) то тот же JS может с куками пользователя допустим создать нового админа сайта (для этого конечно нужно знать структуру запроса).

Одномоментно, так, как если бы вы разместили сторонний код в исполняемых файлах на сервере - нет. Но вполне осуществим вектор атаки применяемый в случае XSS, т.е. на клиента, например браузер. Когда атакующий заменит или добавит нужное содержимое в файл asd.js и вы войдете в административную часть сайта, он сможет наравне с вами использовать привилегированный доступ текущей сессии. Тем самым, продолжить атаку уже на сервер и впоследствии получить доступы к базе и файлам.