Alternativ könnte man must_approve_users mit must_approve_local_users einschränken,
dies würde jedoch als Nebeneffekt der Behebung dieser Sicherheitslücke die Möglichkeit entfernen, die initiale Seite, die zur /login-Seite weiterleitet, zu deaktivieren.