2025/12/3 (日本時間：GMT+9)、Disable Login Pageにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Disable Login Page
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.1.3
 

==概要== 
このモジュールは、標準のDrupalログインフォーム（/user/login）を無効化します。これによりサイト所有者は、UI経由での対話型ログインを防止できます。

本モジュールは、REST/HTTPログイン経路が使用された場合の認証を十分にブロックしません。有効な認証情報を持つ攻撃者（または正当なユーザー）は、RESTログインエンドポイント（/user/login?_format=json）やその他のHTTPベースの認証経路を使用して認証でき、事実上モジュールによるUIログインページの保護を回避できます。 

この脆弱性は、攻撃者が既に有効なアカウント認証情報を保持している必要があるという事実によって緩和されます。
 

==解決方法==
最新バージョンをインストールしてください。

Disable Login Pageモジュールを使用している場合、 Disable Login Page 1.1.3にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-124