攻撃者が仕込んだスクリプトによって、なぜ他の投稿者の投稿からアイコン画像にセッションIDが紐づかれるのか全くわかりません。

他の投稿者の投稿が、アイコン画像に見せかけたファイルであるということまではわかるのですが、攻撃者がそれを読み出すときにどうして実際のアイコン画像から読み出せるのでしょうか？

>攻撃者が仕込んだスクリプトによって、なぜ他の投稿者の投稿からアイコン画像に
>セッションIDが紐づかれるのか全くわかりません。
アイコン画像にセッションID（今回の場合はCookie）が紐づいているのではありません。
icon.pngというファイルは通常の場合画像が格納されます。
しかし、攻撃者の用意したスクリプトによって、icon.pngの中身は画像ではなく
セッションIDがバイナリデータとして格納されます。
ようは、拡張子がpngだが中身はセッションIDのデータのファイルになります。

以下の動作は推測になります。
会員はページVを見ただけで、勝手にセッションIDが含まれた偽のicon.pngが
自分自身のアイコン画像ファイルとしてアップロードされてしまいます。

攻撃者は他のレビューページをみて、偽のicon.pngが会員のアイコン画像として
存在していたら、ダウンロードします。
この時、偽のicon.pngは正規のpngファイルではないのでブラウザなどでは
正常に表示はできないです。壊れた画像ファイルのように扱われると想定されます。
しかし、攻撃者はアイコンファイルのURLがわかれば何らかの方法で直接
アイコンファイルをダウンロードします。

後はアイコンファイルをバイナリファイルとして開けば、会員のセッションIDを
盗み取ることができます。