在系统→维护工具中，通过直接Web远程API（UserSessionAjax.getSessionList.dwr）调用，Logged Users标签会显示所有用户的sessionId数据。虽然拥有“以管理员身份登录”权限的管理员应该能够访问此信息，但缺乏此权限的管理员仍然可以使用会话ID来模仿其他用户。这是一个很小的攻击向量，执行它需要非常高的权限，但其危险主要在于混淆归属关系；所有“以管理员身份登录”的操作都会在日志文件中得到适当的归属记录，恶意管理员可以利用此信息使其行为无法追踪，包括那些未被授权的管理员，例如使用会话ID生成API令牌。已在以下版本中进行修复：24.07.12 / 23.01.20 LTS / 23.10.24v13 LTS / 24.04.24v5 LTS。