Mail Login - Critical - Access bypass - SA-CONTRIB-2025-088

Critical
拡張モジュール

2025/7/9 (日本時間:GMT+9)、Mail Loginにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Mail Login
●投稿日 :2025/7/9
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>3.0.0 <3.2.0 || >=4.0.0 <4.2.0
 

==概要== 
このモジュールは、最小限の設定でユーザーがメールアドレスでログインできるようにします。

このモジュールには、ログインフォームに対するブルートフォース攻撃への保護機能が一部組み込まれていましたが、これらの機能は不完全でした。攻撃者はブルートフォース保護を回避しアカウントへのアクセスを不正に取得する可能性があります。
 

==解決方法==
最新バージョンをインストールしてください。

mail_login 3.xを使用している場合は Mail Login 3.2.0 にアップグレードしてください。
mail_login 4.xを使用している場合は Mail Login 4.2.0 にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-088