Das Modul "Admin Role" besitzt keine eigene Einstellungs-Seite und wird auf der "Registrierungs-Einstellungen"-Seite (/admin/user/settings) mit angezeigt. Unglücklicherweise besitzt das Modul keine eigene Rechte-Schicht.Damit kann jeder Benutzer, der die Berechtigung "Benutzer verwalten" besitzt, die "Registrierungs-Einstellungen"-Seite öffnen und einer Rolle, die er selbst besitzt, Admin-Rechte verleihen. Nach der nächsten Modul-Installation bzw. dem Aufruf der Modul-Seite verleiht das Modul "Admin Role" dieser Rolle sämtliche Systemrechte.
Redaktionelle Mitglieder, die Inhalte und Nutzer verwalten müssen, benötigen zwingend die Berechtigung "Benutzer verwalten". Module wie "RoleAssign" oder "Role Delegation" ermöglichen, dass Mitglieder der Redaktion anderen Nutzern bestehende Rollen zuweisen können. Durch Entzug der Rechtestufe "Berechtigungen verwalten" sind die Rechteprofile für diese Mitglieder gegen Änderungen geschützt. Mit dieser Sicherheitslücke können die Nutzer das System unterlaufen.
Es gibt einen Patch vom Oktober 2009 dazu, der für die Modul-Konfiguration nicht mehr "Benutzer verwalten" aufsetzt, sondern auf auf die richtige Berechtigungsstufe "Berechtigungen verwalten". Gefährlicherweise ist die Issue "Adminrole security hole: admins can assign themselves full permissions" als fixed markiert, das Modul wurde seither aber nicht mehr committet. Wer sich das Modul aktuell herunterlädt bekommt also eine ungepatchte Version ausgeliefert.
