Да вы видимо шутите? Половина из написанного бред, четверть не относится к сек юркости века, еще четверть даже не описана как и почему должна использоваться. Не статья, а детский сад.
Ну, наверно, если сам модуль авторизации, в каком бы виде он не встраивался в сайт уязвим к тому, что позволяет авторизоваться на том конкретном сайте без знания пользовательских данных (как ты выразился — залогиниться под любым пользователем), то скорее всего бага присутствует, если конечно она не вызвана кривым использованием самого модуля авторизации. С другой стороны, формально, если это бага не на их поддомене-домене, то они могут и не принять. Опять же, я все это говорю, не зная что за бага и с чем ее едят, и есть ли она вообще.
Зря вы релизнулись на той платформе, от индусов у вас будет минимум полезных репортов, а потом еще куча ответов на них из разряда «Пачэму ета ни баааг??».
Ага или пишут идиотские отписки про «неиспользуемый браузер» на репорты XSSок, видимо штрафуют за уязвимости, обедов лишают… Причем какие-то еще и фиксят после репортов (не все перепроверял).
(как быстро коммент уйдет в минус?)