2025/6/25 (日本時間：GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Enterprise MFA - TFA for Drupal
●投稿日　：2025/6/25
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<4.8.0 || >=5.2.0 <5.2.1 || 5.0.* || 5.1.*
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは既知のログイン経路が十分に保護されていることを保証していません。

この脆弱性は、攻撃者がユーザーのユーザー名とパスワードを取得する必要があるという事実によって緩和されています。
 

==解決方法==
最新バージョンをインストールしてください。 

Drupal 9.3、Drupal 10、Drupal 11に対応するEnterprise MFA - TFAモジュールを使用している場合は miniorange_2fa 5.2.1 にアップグレードしてください。
Drupal 8、Drupal 9、Drupal 10に対応するEnterprise MFA - TFAモジュールを使用している場合は miniorange_2fa 8.x-4.8 にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-082