Записи в журнал могут производится в формате HTML. Опасные комбинации типа javascript система блокирует, но думаю ее можно обмануть, и провести XSS.
В куках хранится логин и md5 хеш пароля -  а значит возможно узнать пароль админа ....