2024/10/2 (日本時間：GMT+9)、Two-factor Authentication (TFA)において脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Two-factor Authentication (TFA)
●投稿日　：2024/10/2
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
このモジュールではユーザーに対して、パスワード認証に加えて第2の認証方法を使用することを許可および/または要求することができます。 

このモジュールは現在、2つ目の認証トークンを要求する前にセッションを十分に移行していません。  
 

この脆弱性は、攻撃者が攻撃対象のシステム上でセッションを固定し、2要素認証を完了することなくユーザー名とパスワードで認証を行う必要がある、という事実によって緩和されます。攻撃者は認証後にエントリーフォームに関する情報を追加で収集する必要があります。攻撃者は依然として有効なトークンを提示して認証を完了する必要があります。

==解決方法==

最新バージョンをインストールしてください。 

Drupal 8+でTwo-factor Authentication (TFA) を使用している場合はTwo-factor Authentication (TFA) 8.x-1.8にアップグレードしてください。  
Drupal 7でTwo-factor Authentication (TFA) を使用している場合はTwo-factor Authentication (TFA) 7.x-2.4にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2024-043