Записи в журнал могут производится в формате HTML. Опасные комбинации типа javascript система блокирует, но думаю ее можно обмануть, и провести XSS.
В куках хранится логин и md5 хеш пароля -  а значит возможно узнать пароль админа ....

Скромно опустив глаза вниз, слегка пошаркивая ножкой, дико извиняюсь, что прирываю вашу интересную дискуссию... но может мне все-таки кто-то поможет? Я смотрю, вы тут все опытные, яндексы ломаете, а мне никто толком ничего и не ответил... Еще раз прошу прощения...

дневник не пробовал, а вот почту зарегил))
такая там фигня короче. При входе, после ввода пароля и логина, в почту попадаешь через "шлюз" - страница, в которой даже визуально можно успеть заметить форму с логином и паролем.
Теоретически: вставляем в письмо скрипт, скрипт отправляет нас с помощью истории посещений history.back( ); на ту страничку, и хоп!, получаем парольчик.