O Cross-site Scripting é uma vulnerabilidade encontrada em aplicações Web que permite a inserção de códigos maliciosos, a serem executados quando a página for acessada por outros usuários.
O CSS explora a confiança que um usuário tem num site em particular; tem sido encontrado tanto nos pequenos sites como nos grandes e importantes.

Normalmente, as aplicações vulneráveis a esse ataque possuem um conteúdo dinâmico e interação com o usuário, por exemplo, fóruns, e-mail on-line e campos onde o usuário pode inserir dados: caixas de texto para mensagens, espaço para comentários em blogs, caixas de busca etc.

Por meio desse ataque, o cracker pode instalar silenciosamente vários malwares e, por exemplo, simular a página de login de um site para capturar os valores digitados.

Neste tutorial da OWASP, você pode entender melhor o que é o Cross-site Scripting:

Referências:
iMasters
Wikipedia