もう少し前提条件を質問本文に記載しただきたいところですが、例えば検索機能を持つ画面で検索文字列をCookieに保存するようなサイトがあれば、第三者がCSRF攻撃のような要領で検索機能を攻撃して、その結果任意のCookieを第三者のブラウザにセットできる場合があります。CSRF脆弱性は更新処理のような副作用のある機能には実装すべきものですが、検索画面は副作用がないのでCSRF対策されないケースが大半なので、該当するウェブサイトはかなりあると想定されます。
一方で、「Cookieがセットされて何なの?」という話もあり、アプリケーションの作りによっては、「第三者にCookieを設定されても実害はない」というケースもあります。
さらに、ここからがややこしいところですが、「Cookieというものは脆弱性がなくても第三者に設定されてしまう」という、言葉だけ見ると「ホンマカイナ」という特性があります。詳しくは以下のブログ記事およびYouTube動画で説明しています。
以上から言えることは、
- Cookieは元々第三者に変更される特性をもつ
- ゆえに、Cookieは第三者に変更されても大丈夫なように使う必要がある
ということになります。
詳しい解説が必要であれば、拙著にはなりますが、以下の本の「4.8.1 クッキーの不適切な利用」に記載しています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版
ご質問「Cookieに保存する値を自由に設定できたとしてもセキュリティ上問題ないでしょうか?」への回答ですが、そのCookieの扱い方次第であり、セキュリティ上問題になるケースもある、となります。