Esto no suena como una vulnerabilidad en absoluto.
Si entiendo bien, ¿tienes que usar tu propio nombre de usuario y contraseña? Hacer una solicitud POST con eso es exactamente lo que hace su navegador una vez que presiona el botón de inicio de sesión. Que el servidor utilice otro programa para enviar la solicitud es imposible que el servidor lo sepa y no importa mucho. Cualquier cliente es tan bueno como cualquier otro. No hay "clientes autorizados", solo hay clientes.
Piénsalo así. Si escribo un programa que envía exactamente las mismas solicitudes HTTP que Firefox, ¿cómo podría su servidor diferenciarlas entre ellas? Todo lo que el servidor ve es la solicitud, no el propio cliente. Si descargo el código fuente de Firefox y lo modifico para mis propósitos, ¿cómo lo sabría su servidor? (Esto, por cierto, también es la razón por la que el servidor nunca puede confiar en el comportamiento del cliente para hacer cumplir la seguridad).
Además, si esto fuera considerado como una vulnerabilidad, ¿cómo podría un atacante explotarlo? Un atacante no sabría su contraseña, por lo que no podría POSTARLA, no importa si se hace "programáticamente" o desde un navegador.
Usted menciona que la cookie es "insegura". Si quiere decir que no tiene el indicador de seguridad establecido, es una mala práctica. Y podría ser una señal de que están sirviendo parte de su sitio a través de HTTP simple, lo cual tampoco es bueno.