Authenticator Login - Critical - Access bypass - SA-CONTRIB-2025-009
Critical
拡張モジュール
2025/1/29 (日本時間:GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。
●プロジェクト :Authenticator Login
●投稿日 :2025/1/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.6
==概要==
このモジュールを使用すると、携帯電話などのモバイル端末の認証アプリケーションを使用して、QRコード経由で2要素認証を設定することができます。
このモジュールはカスタムパスを適切に保護していないため、あるユーザーが別のユーザーの2要素認証設定にアクセスできてしまいます。
==解決方法==
最新バージョンをインストールしてください。
aloginモジュール1.0.xを使用している場合は、1.0.xは現在サポートされていないため Authenticator Login 2.0.6またはより最新のものにアップグレードしてください。
aloginモジュール2.0.xを使用している場合は Authenticator Login 2.0.6またはより最新のものにアップグレードしてください。
aloginモジュール2.1.xを使用している場合は何もする必要はありません。