WordPressプラグイン「Login Me Now」の認証バイパス脆弱性（CVE-2025-1717, CVSS 8.1）の解説と対策

WordPressのセキュリティを強化するためには、プラグインの脆弱性にも注意を払う必要があります。今回は、新規ダウンロードが停止された「Login Me Now」プラグインの認証バイパス脆弱性（CVE-2025-1717, CVSS 8.1） について解説し、対策方法を提案します。

この脆弱性は、適切な対策を講じなければ攻撃者が認証なしで管理者権限を取得できる可能性があります。WordPressサイトを運営する皆さんは、ぜひ本記事を参考にしてください。

「Login Me Now」プラグインとは？

「Login Me Now」は、WordPressのログインを簡略化し、管理者や開発者、サポート担当者が素早くアクセスできるようにするためのプラグインです。

https://wordpress.org/plugins/login-me-now

主な機能

• ワンクリックでログインできる一時ログインリンクの生成（パスワード不要）
• Google・Facebookアカウントを利用したソーシャルログイン
• 管理者が他のユーザーに簡単に切り替え可能なユーザースイッチング
• Chrome / Firefox 拡張機能によるログイン管理
• ログイン履歴の記録（アクティビティログ）

利便性が高い反面、適切に管理しないと重大なセキュリティリスクを伴うプラグインです。

脆弱性の概要（CVE-2025-1717, CVSS 8.1）

脆弱性の詳細

• 脆弱性の種類: 認証バイパス（Authentication Bypass）
• 影響を受けるバージョン: 1.7.2 以前
• CVE番号: CVE-2025-1717
• CVSSスコア: 8.1（High）
• 影響: 攻撃者が適切な認証なしで管理者権限を取得可能
• 攻撃の成立条件: 他のプラグインや設定が get_transient() のデータを漏洩している場合

ポイントとして、この脆弱性によって即座に攻撃可能にはならず、他のプラグイン等によって取得される可能性がある get_transient() の取得キーによってログインが可能になるという仕様によって脆弱性として登録されていることです。

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/login-me-now/login-me-now-172-authentication-bypass

脆弱性の原因

このプラグインでは、一時ログインリンクの認証情報を get_transient() を使って保存し、そのキー（lmn パラメータ）が適切に管理されていないことが問題となっています。

$number  = sanitize_text_field( $_GET['lmn'] );
$t_value = get_transient( $number );
if ( ! $t_value ) {
    exit('Invalid number');
}

問題点:

• lmn の値（transientキー）が漏洩すると、第三者が不正ログインできる
• 他のプラグインやテーマが get_transient() のデータを公開してしまうリスク
• lmn の値が短い場合、ブルートフォース攻撃が可能

https://plugins.trac.wordpress.org/browser/login-me-now/tags/1.7.2/app/Logins/BrowserTokenLogin/AutoLogin.php#L24

get_transient() とは？

get_transient() は、WordPressの一時的なデータキャッシュ機能であり、データを一時的に保存し、指定した時間が経過すると自動的に削除される仕組みです。

主な用途:

• 短期間のキャッシュ（APIレスポンス、計算結果など）
• セッション情報の管理
• ログイン認証の一時データ保存

get_transient() の基本的な動作

以下のように、set_transient() でデータを保存し、get_transient() で取得できます。

// データを保存（キー, 値, 有効期限[秒]）
set_transient( 'sample_key', 'sample_value', 3600 );

// データを取得
$value = get_transient( 'sample_key' );
if ( $value ) {
    echo "キャッシュデータ: " . $value;
} else {
    echo "データは存在しません。";
}

有効期限が切れると、自動的に削除されます。

get_transient() のリスク

• 予測可能なキーを使うと攻撃者がデータを取得できる
• 適切な権限チェックなしに認証情報を保存すると不正アクセスにつながる
• キャッシュの有効期限が長すぎると、セキュリティリスクが増大

安全な使用方法

• キーを推測しにくいUUIDなどのランダム値にする
• ログイン認証情報などの機密データを保存しない
• 保存データの暗号化や権限チェックを適用する
• 適切な有効期限（短期間）を設定する

このように、get_transient() は便利な機能ですが、適切な運用が求められます。

攻撃シナリオ

1. 一時ログインリンクの漏洩

• WordPressサイト内の他のプラグインや設定ミスにより、lmn の値が漏洩
• 攻撃者がその値を取得し、認証なしでログイン成功

2. 推測攻撃（ブルートフォースアタック）

• lmn の値が短い（例: 123456 など）の場合、攻撃者が総当たりで試行し突破

3. XSS攻撃と組み合わせ

• 攻撃者が管理画面にXSSを仕掛け、get_transient() の値を取得

これらの攻撃が成功すると、WordPressサイト全体が乗っ取られる可能性 があります。

この脆弱性（CVE-2025-1717）のCVSSスコアが8.1（High）である理由

このプラグインの処理によって直接的な脆弱性とはなりえず、他の要因が組み合わない限り危険なものにはなりません。

ですが、CVSSスコアが8.1と非常に高いものとなっているのは以下の理由によるところかと考えられます。

• 認証バイパスの影響が大きい（攻撃成功で管理者権限を奪取可能）
• 攻撃の成立が比較的容易（lmn の値を入手できれば成功）
• WordPressサイト全体のセキュリティに影響（単なる1ユーザーの問題ではない）
• プラグイン単体で修正が難しい（他のプラグインやテーマが関与する可能性）

通常のログイン後に付与されるセッションIDの役割をプラグイン単体で実装しているため、ログインに関するセキュリティリスクに対処した高度な実装処理が本来は求められるのですが、対処しきれていない状況です。

このため、サイト管理者は緊急ではなくとも慎重な対応が求められます。

運用者が取るべき対策

2025年2月26日をもってLogin Me Now の新規ダウンロードは停止済み(2025年2月27日現在)になっています。

脆弱性に対処したパッチが公開されていないため、プラグインのバージョンアップによって対策することは出来ない状態となっています。

1. プラグインの使用を停止し、代替手段を検討

• 代替手段として、WordPressの公式機能やセキュリティプラグインを使用
  • 例: One-Time Password（OTP）やTwo-Factor Authentication（2FA）を導入

合わせて、セキュリティプラグイン（Wordfence、Sucuri など）で監視をすることでプラグインの脆弱性を即座に検知や対処することができます。

まとめ

• 「Login Me Now」は便利なプラグインだが、セキュリティリスクが高いため注意が必要
• 認証バイパスの脆弱性（CVE-2025-1717, CVSS 8.1）があり、攻撃者により管理者権限を奪われるリスク
• 今すぐの攻撃リスクは低いが、慎重な対応が必要
• プラグインの使用を停止し、適切なセキュリティ対策を実施すべき

WordPressのセキュリティは「攻撃されてからでは遅い」ため、早めに対策を行いましょう！