2024/12/11 (日本時間：GMT+9)、Login Disableにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Login Disable
●投稿日　：2024/12/11
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=2.0.0 <2.1.1

==概要== 
Login Disableモジュールは、?q=userのログインフォームページの末尾に秘密キーを追加しないと既存のユーザーがDrupalサイトにログインできないようにします。

このモジュールはログインが無効化されたユーザーがログインするのを正しく防げることができておらず、そのユーザーがモジュールの提供する保護を回避できてしまうという問題があります。

この脆弱性は、攻撃者がすでにログイン用のユーザーアカウントを持っている必要があるという事実によって緩和されます。このバグにより、ログインが無効化されている場合でもユーザーがログインできてしまいます。
 

==解決方法==

最新バージョンをインストールしてください。 
Drupal 9.x / 10.xでDisable moduleを使用している場合はLogin Disable 2.1.1にアップグレードしてください。
このモジュールのDrupal 7バージョンは影響を受けていません。 
 

==元記事==
https://www.drupal.org/sa-contrib-2024-073