on pourrait éventuellement restreindre must_approve_users avec un must_approve_local_users
mais cela supprimerait la possibilité de désactiver la page initiale qui redirige vers /login comme effet secondaire de la résolution de cette vulnérabilité de sécurité.