В личном звании можно вставлять HTML-тэги: вешает весь форум нах. пишу к примеру:
<script>
alert('PREVED');
</script>
- весь форум вылетает при просмотре любого моего поста. Более того выводит на экран хэш пароля и кучу других js переменных.

Но это звание есть тока у модеров - но уже есть уязвимость. А то писали, что совсем нет... Можно модером ломать весь форум...