2023/7/12、Two-factor Authentication (TFA)において脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Two-factor Authentication (TFA)
●投稿日　：2023/7/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールではユーザーに、パスワード認証に加えて二つ目の認証方法を許可または要求することが可能です。

現在このモジュールはパスワードリセットページを含むコアのログインルートが第二要素の認証情報を要求することを十分に保証していません。

この脆弱性は、攻撃者は第一要素のログイン認証情報を入手する必要があるという点から軽減されています。

==解決方法==
最新バージョンをインストールしてください。

Drupal 8/9にてTwo-factor Authentication (TFA)モジュールを使用している場合はTFA 8.x-1.1へアップグレードしてください。

RESTといった追加の外部認証方法がすべて無効になっていることを確認してください。

==元記事==
https://www.drupal.org/sa-contrib-2023-030