Enterprise MFA - TFA for Drupal - Critical - Cross Site Request Forgery - SA-CONTRIB-2025-054
Critical
拡張モジュール
2025/5/7 (日本時間:GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。
●プロジェクト :Enterprise MFA - TFA for Drupal
●投稿日 :2025/5/7
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery
●対象バージョン :<4.7.0 || >=5.0.0 <5.2.0
==概要==
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。
このモジュールは、特定のルートについてクロスサイトリクエストフォージェリ(CSRF)攻撃から十分に保護していません。
==解決方法==
最新バージョンをインストールしてください。
Drupal 9.3またはそれ以上でEnterprise MFA - TFA 5.xモジュールを使用している場合は miniorange_2fa 5.2.0 にアップグレードしてください。
Drupal 8、9、10でEnterprise MFA - TFA 4.xモジュールを使用している場合は miniorange_2fa 8.x-4.7 にアップグレードしてください。