Зная логин и пароль одного пользователя можно получить права другого, включая администратора.
vulners.com/securityvulns/securityvulns:doc:2354