¿Qué hay en riesgo si no valido Confirmar contraseña en el lado del servidor y solo realizo esta validación en el lado del cliente?

La regla es controlar el lado del servidor lo que realmente importa para el servidor, y el lado del cliente lo que importa para el usuario. Por ejemplo, si desea permitir solo ciertos caracteres en la contraseña y una longitud máxima, esto debe ser controlado por el servidor. Si solo quiere asegurarse de que el usuario sepa lo que acaba de escribir, los controles del lado del cliente están bien.

Algunos controles se pueden hacer dos veces, porque lo que importa para el servidor son los datos, pero lo que importa para el usuario es que se le avise de un error tan pronto como sea posible. Por ejemplo, está bien controlar primero la validez de un lado del cliente de campo tan pronto como el campo se haya ingresado para advertir al usuario inmediatamente, y luego controlar el lado del servidor cuando se envía el formulario.

Depende de lo que estés haciendo con él.

Si solo está validando que password1 y password2 son idénticos, entonces el servidor o el cliente están bien.

Pero la validación de contraseñas y el saneamiento de back-end son un requisito.

Si bien la validación de JS está bien para las solicitudes enviadas manualmente, a los malos actores no les importa o utilizan su formulario, excepto para leer dónde enviar sus ataques de fuerza bruta.

la falla en la limpieza de la entrada de confirmación de contraseña puede dejarlo abierto a una serie de problemas, como la inyección de SQL.

Ejemplo: alguien escribe una secuencia de comandos para enviar su formulario de restablecimiento de contraseña o creación de cuenta y agrega ; DELETE * FROM USERS WHERE 1;

La falta de validación hace que la tabla de usuarios se pierda.

Para obtener una introducción decente sobre las diversas cosas contra las que debe protegerse, consulte: enlace