Aunque hay algunos detalles que afectan esto, siguiendo los principios generales, la respuesta es SÍ.
Un ataque que explota CSRF intentaría ejecutar alguna función del sitio objetivo (facebook, en su ejemplo) en el contexto del navegador.
Entonces, la prueba clave es: si abres Facebook en una pestaña (en el escenario que mencionaste), te daría una sesión iniciada directamente. Parece que lo haría. En ese caso, cumple con las condiciones necesarias para montar un ataque CSRF.
Hay muchos matices. Por ejemplo: Vulnerabilidad! = Exploit. es decir, aunque el atacante puede hacer que CSRF funcione (y producir un POC para obtener una recompensa de error o completar una asignación VA / PT) - puede que no haya nada que explotar debido a otras protecciones. por ejemplo, si se requiere autenticación adicional para realmente hacer cualquier daño.
Lea otras preguntas en las etiquetas csrf