2025/8/13 (日本時間：GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Authenticator Login
●投稿日　：2025/8/13
●セキュリティリスク　：Highly Critical
●脆弱性　：Access bypass
●対象バージョン　：<2.1.4
 

==概要== 
このモジュールは、ユーザーが認証アプリを使用して二要素認証（2FA）を設定しログインのセキュリティを強化することを可能にします。このモジュールは、認証フローの処理にAJAXコールバックを使用するため、標準のDrupalのログインフォームを変更します。

このモジュールは特定の条件下で認証を十分に検証しないため、攻撃者がユーザー名を知っている任意のアカウントにログインできる可能性があります。

この脆弱性は、攻撃者が認証回避に必要な条件を発生させるために一連のリクエストを送信する必要がある点で緩和されています。この一連のリクエストは、サイトが攻撃を受けていることをサイト管理者に通知する可能性があります。ただし、条件を発生させるために必要なリクエスト数は通常非常に少数です（サイトの構成によって異なりますが、デフォルトでは5回です）。
 

==解決方法==
最新バージョンをインストールしてください。

Drupal 10でaloginモジュールを使用している場合は、最新バージョン、または少なくともAlogin 2.1.5 にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-096