Anche se ci sono alcuni dettagli che influiscono su questo, seguendo i principi generali, la risposta è SI.
Un attacco che sfrutta CSRF tenterebbe di eseguire alcune funzioni del sito di destinazione (facebook, nel tuo esempio) nel contesto del browser.
Quindi il test chiave è: se apri Facebook in una scheda (nello scenario che hai menzionato), ti darebbe una sessione connessa direttamente. Sembra che lo farebbe. In tal caso, soddisfa le condizioni necessarie per montare un attacco CSRF.
Ci sono molte sfumature. Ad esempio: vulnerabilità! = Exploit. Ad esempio, sebbene l'hacker possa far funzionare CSRF (e produrre un POC per ottenere un bounty di bug o completare un assegnamento VA / PT) - potrebbe non esserci nulla da sfruttare a causa di altre protezioni. ad esempio, se è necessaria un'autenticazione aggiuntiva per fare veramente qualsiasi danno.