非 SSL で Basic 認証を使っていれば普通に起きていることなので、大して危険ではないような気もするのですが、危険性の評価は利用状況によるでしょう。MT を利用してるのは個人サイトだけではありませんし。

ってあたりがポイントなのかな。確か、商用サービスとか企業向けサービスとかで、MTをより機密度が高い情報サービスと連携させて動くように組み込んでいる事例とかもあった気がするし、そういうマキシマムの危険性を重視した上で「脆弱性」として扱うというのは、ありといえばありかもしれない。

ただ一般ユーザーレベルで取り扱う情報を管理するツールとしては、これを「脆弱性」扱いするのはなんか違うと思う。たとえば（SSLなしで）BASIC認証で管理機能を保護しているCGIなんかは、すべてこれと同じような危険性をはらんでいる（Cookie系のアタックに弱い点を考えると「同じような」というのは言い過ぎか）ことになるわけだから、これが「脆弱性」ならばそれらも「脆弱性」になっちゃうってことだし。