Authenticator Login - Critical - Access bypass - SA-CONTRIB-2025-009

Critical
拡張モジュール

2025/1/29 (日本時間:GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Authenticator Login
●投稿日 :2025/1/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.6

==概要== 
このモジュールを使用すると、携帯電話などのモバイル端末の認証アプリケーションを使用して、QRコード経由で2要素認証を設定することができます。

このモジュールはカスタムパスを適切に保護していないため、あるユーザーが別のユーザーの2要素認証設定にアクセスできてしまいます。

==解決方法==
最新バージョンをインストールしてください。 
aloginモジュール1.0.xを使用している場合は、1.0.xは現在サポートされていないため Authenticator Login 2.0.6またはより最新のものにアップグレードしてください。
aloginモジュール2.0.xを使用している場合は Authenticator Login 2.0.6またはより最新のものにアップグレードしてください。
aloginモジュール2.1.xを使用している場合は何もする必要はありません。

==元記事==
https://www.drupal.org/sa-contrib-2025-009