Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web zřejmě používá zranitelnou verzi pluginu Funnel Builder by FunnelKit (WordPressový plugin funnel-builder, uváděný také jako Funnel Builder for WooCommerce Checkout). Tato stránka vysvětluje, proč na tom záleží a jak to opravit.

Toto upozornění se týká CVE-2026-47100, kritické, aktivně zneužívané zranitelnosti (CVSS 8.7), která útočníkovi umožňuje vložit vlastní JavaScript do stránek vaší pokladny bez přihlášení. Postihuje všechny verze před 3.15.0.3 a je opravena ve verzi 3.15.0.3. Pokud používáte dotčenou verzi, aktualizujte Funnel Builder na 3.15.0.3 nebo novější co nejdříve. Protože je tato zranitelnost zneužívána k odcizování údajů platebních karet, měli byste také zkontrolovat svou pokladnu na vložený kód (viz Pokud jste používali dotčenou verzi níže).

Jde o zranitelnost pluginu, nikoli jádra WordPressu. Plně aktuální WordPress a WooCommerce vás neochrání, pokud je samotný plugin Funnel Builder zastaralý.

Je tato zpráva důvěryhodná?

Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout, cokoli nahrát ani cokoli zneužít.

Pouze jsem se podíval na veřejně viditelné soubory, které váš web poskytuje každému návštěvníkovi (stejně jako je veřejná vaše úvodní stránka), a zaznamenal jsem číslo verze, které plugin Funnel Builder v těchto souborech zveřejňuje: jeho veřejný readme.txt a verzovací značku, kterou WordPress připojuje k front-endovým souborům pluginu. Zranitelné funkce pokladny jsem se výslovně nedotkl a nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu.

Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.

Proč na tom záleží

Funnel Builder by FunnelKit je velmi rozšířený plugin pro prodejní trychtýře a pokladnu obchodů na WooCommerce. V dotčených verzích lze veřejný endpoint pokladny dosáhnout bez přihlášení a bez jakéhokoli bezpečnostního tokenu a lze jej použít k zápisu do globálního nastavení pluginu „External Scripts“, tedy nastavení, které vkládá skripty do každé stránky pokladny. Tato kombinace umožňuje vzdálenému útočníkovi umístit vlastní JavaScript do vaší pokladny, kde vaši zákazníci zadávají jméno, adresu a údaje platební karty.

Jde o klasický vzorec web-skimmingu / Magecartu: vložený skript nenápadně kopíruje to, co zákazníci zadávají, a odesílá to útočníkovi, přičemž vaše pokladna dál běžně funguje, takže nic nevypadá podezřele. Bezpečnostní firma Sansec hlásí, že je tato zranitelnost aktivně zneužívána v reálném provozu, přičemž odcizovací kód je často maskován jako Google Tag Manager nebo analytický úryvek, aby splynul s okolím.

Zranitelnost byla ohodnocena 8,7 z 10 (vysoká závažnost). Pokud můj e-mail tento problém uváděl, znamená to, že verze, kterou váš web hlásí, spadá do dotčeného rozsahu. Netestoval jsem, zda je konkrétně váš web zneužitelný nebo již napadený, pouze to, že hlásí dotčenou verzi.

Dobrá zpráva: aktualizace na opravenou verzi tuto díru uzavře a aktualizace je jednoduchá.

Jak zkontrolovat svou verzi

Nemusíte mi věřit, jakou verzi používáte.

Z veřejného manifestu (bez přihlášení): otevřete v prohlížeči vasedomena.cz/wp-content/plugins/funnel-builder/readme.txt. Řádek Stable tag: blízko horní části je verze, kterou vaše instalace Funnel Builderu hlásí, a jde o stejný veřejný soubor, který jsem četl.

Z administrace WordPressu (pokud máte přístup):

  1. Přihlaste se do administrace WordPressu (obvykle na adrese vasedomena.cz/wp-admin).
  2. Přejděte na Pluginy poté Instalované pluginy.
  3. Vyhledejte Funnel Builder (může se zobrazovat jako Funnel Builder for WooCommerce nebo FunnelKit) a poznamenejte si verzi uvedenou pod jeho názvem.

Pokud je verze jakákoli nižší než 3.15.0.3, používáte dotčenou verzi a měli byste aktualizovat. 3.15.0.3 a novější jsou opravené.

Jak aktualizovat

Nejbezpečnější cestou je aktualizace přímo přes WordPress, a to po předchozí záloze:

  1. Zazálohujte svůj web (soubory a databázi) před provedením změn. Většina poskytovatelů hostingu nabízí zálohy na jedno kliknutí, případně použijte zálohovací plugin pro WordPress.
  2. V administraci WordPressu přejděte na Nástěnka poté Aktualizace, nebo Pluginy poté Instalované pluginy. Pokud je aktualizace Funnel Builderu uvedena, nainstalujte ji odsud.
  3. Pokud se žádná aktualizace neobjeví, můžete si nejnovější vydání stáhnout přímo ze stránky pluginu v adresáři WordPress.org, Funnel Builder by FunnelKit, a aktualizovat přes Pluginy poté Přidat nový plugin poté Nahrát plugin.
  4. Po aktualizaci potvrďte nové číslo verze (3.15.0.3 nebo novější) podle výše uvedených kroků a zkontrolujte, že se vaše pokladna načítá a běžně dokončí testovací objednávku.

Když už jste u toho, vyplatí se ověřit, že jsou aktuální i jádro WordPressu, WooCommerce a vaše ostatní pluginy, protože stejná zásada platí pro všechny.

Pokud jste používali dotčenou verzi

Protože je tato zranitelnost zneužívána k umísťování skriptů pro odcizování platebních údajů, obchod, který provozoval dotčenou verzi, by neměl předpokládat, že pouhá aktualizace stačí. Aktualizace zranitelnost odstraní, ale neodstraní žádný skript, který již útočník mohl vložit. Vy (nebo váš webmaster) byste to měli na svém vlastním webu zkontrolovat:

  • Zkontrolujte nastavení pluginu „External Scripts“. V nastavení FunnelKitu / Funnel Builderu se podívejte na jakékoli globální položky hlavičky/patičky nebo „External Scripts“, které se týkají vaší pokladny, a odstraňte cokoli, co jste sami nepřidali, zejména skript, který tvrdí, že je Google Tag Manager, analytika nebo pixel, ale který jste nenastavovali.
  • Zobrazte zdrojový kód stránky pokladny. Načtěte si vlastní pokladnu v prohlížeči, zobrazte zdrojový kód stránky a hledejte jakýkoli externí <script>, který nepoznáváte, zvláště takový, který se načítá z neznámé domény. Odcizovací skripty jsou navrženy tak, aby vypadaly jako běžná analytika.
  • Sledujte příznaky podvodů. Nevysvětlený nárůst hlášení zákazníků o zneužití karty po objednávce u vás je silným ukazatelem toho, že byl odcizovací skript aktivní.

Pokud najdete vložený kód, považujte obchod za napadený: odstraňte podvržený skript, změňte své přístupové údaje (administrace WordPressu, databáze, hostingový panel a jakékoli API klíče platební brány) a, protože mohla být vystavena data platebních karet zákazníků, informujte svého zpracovatele plateb a řiďte se jeho pokyny, které mohou zahrnovat povinnost informovat zákazníky podle PCI-DSS nebo místních předpisů. Preventivně také zkontrolujte své administrátorské účty, zda mezi nimi není nějaký, který nepoznáváte. Pokud má vaše organizace tým pro IT bezpečnost, zapojte ho.

Chci to říct jasně: váš web jsem na žádný z těchto příznaků nekontroloval a nevím, zda byl váš web postižen. Tento seznam je zde, abyste si mohli zkontrolovat sami.

Nemám webmastera / nevím si rady

Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.

Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.

Kontakt

Evan Harris, bezpečnostní výzkumník

Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.

Zdroje

Oficiální upozornění a evidence

Dodavatel / plugin

Hlášení a analýza