Es correcto guardar todos los datos del usuario en la variable $_SESSION o esto es una vulnerabilidad?
Es correcto en terminos generales, si no tienes problemas a la hora de ordenar estos datos para sacar lo que necesitas en determinados lugares, no hay problema.

El session_star() tiene que estar en todas las páginas o simplemente llega con que lo ponga al principio del index.php?

Tiene que ser lo primero SIEMPRE.. puede estar en el index.php en primeras lineas, como generalmente lo hacen... o tambien puedes hacer independiente este con una comprobación e incluirlo(include()) al inicio de todos los archivos que puedas necesitar, asi estará el archivo independiente listo para su inclusion donde lo necesites, claro que si no es mas que session_start(); pues basta con agregarlo manualmente.