No, in genere non si possono modificare dall'esterno. Ovviamente se hai uno script vulnerabile che le acceda o anche solo il filesystem (dove di solito vengono salvate) possa essere un'altra storia. Il rischio tipico delle sessione sarebbe il session hijacking, in che un utente ottiene in qualche modo la session id di un altro e quindi può far finta di essere quell'utente.