De hecho, estaría bien que pusieras el código, pero igual podemos ir avanzando con algunas ideas.

Digo a ver, sean cookies o sean sesiones lo que no me cabe es que digas que un usuario sin privilegios puede ver lo de un administrador por el simple hecho de que conserve las cookies o las variables de sesión; si lo que validas NO es solo la existencia de la cookie o de la sesion, sino su VALOR, y si estamos en el entendido de que cuando se loguea el usuario creas de nuevo las cookies/sesiones entonces no hay forma de que se "confunda", creo definitivamente que el problema es de código.

Esperemos a ver algo de código