Si potrebbe invece delimitare must_approve_users con must_approve_local_users
ma questo eliminerebbe la possibilità di disabilitare la pagina iniziale che reindirizza a /login come effetto collaterale della risoluzione di questa vulnerabilità di sicurezza.