Можно вставить javascript в таг [IMG], кроме того при проверке куки не проверяется пароль пользователя.
vulners.com/securityvulns/securityvulns:doc:1311
vulners.com/securityvulns/securityvulns:doc:1314
vulners.com/securityvulns/securityvulns:doc:2345