Como dice la definición
Las secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad de seguridad informática que generalmente se encuentra en las aplicaciones web. XSS permite a los atacantes inyectar secuencias de comandos del lado del cliente en las páginas web que ven otros usuarios.
Fuente: enlace
XSS es una vulnerabilidad, porque el sitio vulnerable a XSS le brinda al atacante la oportunidad de atacarlo usando inyección de script . Sin embargo, también se considera un vector de ataque , por lo que probablemente la gente lo mezcle con un ataque.
En resumen
XSS: vulnerabilidad o un vector de ataque
inyección de script - técnica de ataque
En cuanto a la terminología, la diferencia / relación entre ataque y vulnerabilidad es, en resumen, que el ataque es una explotación de una vulnerabilidad. Por lo tanto, es una acción realizada para dañar el objetivo, después de descubrir la vulnerabilidad.