De acuerdo con php.net: Hay varias maneras de filtrar una identificación de sesión existente a terceros. Una identificación de sesión filtrada permite a un tercero acceder a todos los recursos que están asociados con una identificación específica. Primero, las URL que llevan identificadores de sesión. Si realiza un enlace a un sitio externo, la URL, incluida la identificación de la sesión, puede almacenarse en los registros de referencia del sitio externo. En segundo lugar, un atacante más activo podría escuchar su tráfico de red. Si no está encriptado, los identificadores de sesión fluirán en texto sin formato a través de la red. La solución aquí es implementar SSL en su servidor y hacerlo obligatorio para los usuarios.
Esto plantea la pregunta, ¿cómo se tiene el ID de sesión pero no se puede acceder al script?
De todos modos, necesitaría establecer la ID de sesión y luego iniciarla ... luego acceder a los datos.
session_id($whatever_id_you_have);
session_start();
echo $_SESSION['somekey'];
Sólo una respuesta dice cómo obtener los datos de sesión utilizando session_id. –