Hallo!

Nein, wieso? $_SESSION ist für den Angreifer nicht einsehbar.

Wozu auch wenn er sich darauf verlassen kann, dass der Token dort drin steht?
Die Gefahr besteht dann wenn der Angriff auf der Seite mit dem Formular stattfindet.
Dann steht der Token nämlich in der Session und gleichzeitig im Formular.

Er nutzt lediglich aus, dass der gültiger Session-Cookie vorhanden ist und mit jedem HTTP-Request mitgesendet wird, auch wenn der Request von einer fremden Site initiiert wurde.

Genau. Und wenn der Token in der Session gespeichert ist, kann der Angreifer unter der Session Formulare absenden.

Wo ist mein Denkfehler?

Grüße, Matze