「Marklet BLOG: 脆弱性とセキュリティホール」にある、

例えば、ID、パスワードを入力して認証するシステムでは、その２つキーを盗み出したり、推測したり、総当たりで試す事によって突破できる可能性があるため、「脆弱性を抱えている」と言えます。

一般に「脆弱性がある」といった場合、保護しようとする情報の重要度に見合わないレベルの脆弱性が認められた場合に使われるのではないでしょうか？

ってあたりから考慮すると、

企業ユーザー・商用サービス等、秘匿度の高い情報を取り扱っている場合

脆弱性である。ただし、緊急度低・危険度低。パッチが出るまでの対処法として、SSLの利用、管理機能の利用後は必ずログアウトする、「情報を登録する?」オプションは使用しない、という運用を推奨。

一般個人ユーザー等、秘匿度の低い情報を取り扱っている場合

脆弱性というレベルではない。パッチが出るまで通常の使用を続けても問題ない。

ってあたりが妥当なんじゃないかなーと思う。