Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann deshalb, weil Ihre Website offenbar eine verwundbare Version von Funnel Builder by FunnelKit (dem WordPress-Plugin funnel-builder, auch gelistet als Funnel Builder for WooCommerce Checkout) einsetzt. Diese Seite erklärt, warum das wichtig ist und wie Sie es beheben.

Dieser Hinweis betrifft CVE-2026-47100, eine kritische, aktiv ausgenutzte Schwachstelle (CVSS 8.7), die es einem Angreifer ermöglicht, ohne Anmeldung eigenes JavaScript in Ihre Kassenseiten einzuschleusen. Sie betrifft alle Versionen vor 3.15.0.3 und ist in 3.15.0.3 behoben. Wenn Sie eine betroffene Version einsetzen, aktualisieren Sie Funnel Builder so bald wie möglich auf 3.15.0.3 oder neuer. Da diese Schwachstelle ausgenutzt wird, um Zahlungskartendaten zu stehlen, sollten Sie außerdem Ihre Kasse auf eingeschleusten Code prüfen (siehe Wenn Sie eine betroffene Version genutzt haben weiter unten).

Dies ist eine Schwachstelle eines Plugins, nicht des WordPress-Kerns. Ein vollständig aktuelles WordPress und WooCommerce schützen Sie nicht, wenn das Plugin Funnel Builder selbst veraltet ist.

Ist diese Nachricht seriös?

Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen, etwas hochzuladen oder etwas auszunutzen.

Ich habe lediglich öffentlich sichtbare Dateien betrachtet, die Ihre Website jedem Besucher bereitstellt (so wie auch Ihre Startseite öffentlich ist), und die Versionsnummer notiert, die das Plugin Funnel Builder in diesen Dateien veröffentlicht: die öffentliche readme.txt und die Versionskennung, die WordPress den Front-End-Assets des Plugins aufprägt. Die verwundbare Kassenfunktion habe ich ausdrücklich nicht berührt, und nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website.

Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.

Warum das wichtig ist

Funnel Builder by FunnelKit ist ein weit verbreitetes Sales-Funnel- und Kassen-Plugin für WooCommerce-Shops. In betroffenen Versionen kann ein öffentlicher Kassen-Endpunkt ohne Anmeldung und ohne jeglichen Sicherheitstoken erreicht werden, und über ihn lässt sich die globale Plugin-Einstellung “External Scripts” beschreiben: die Einstellung, die Skripte in jede Kassenseite einschleust. Diese Kombination erlaubt es einem entfernten Angreifer, sein eigenes JavaScript in Ihre Kasse zu platzieren, dort, wo Ihre Kunden ihren Namen, ihre Adresse und ihre Zahlungskartendaten eingeben.

Dies ist das klassische Muster des Web-Skimming / Magecart: Das eingeschleuste Skript kopiert unbemerkt, was Käufer eingeben, und sendet es an den Angreifer, während Ihre Kasse normal weiterarbeitet, sodass nichts verdächtig aussieht. Die Sicherheitsfirma Sansec berichtet, dass diese Schwachstelle aktiv in freier Wildbahn ausgenutzt wird, wobei der Skimming-Code oft als Google Tag Manager oder als Analyse-Snippet getarnt ist, damit er sich einfügt.

Die Schwachstelle wurde mit 8,7 von 10 bewertet (hohe Schwere). Wenn meine E-Mail dieses Problem genannt hat, bedeutet das, dass die Version, die Ihre Website meldet, in den betroffenen Bereich fällt. Ich habe nicht getestet, ob Ihre konkrete Website ausnutzbar oder bereits kompromittiert ist, sondern nur, dass sie eine betroffene Version meldet.

Die gute Nachricht: Ein Update auf eine behobene Version schließt die Lücke, und das Update ist unkompliziert.

So prüfen Sie Ihre Version

Sie müssen mir nicht glauben, welche Version Sie einsetzen.

Aus dem öffentlichen Manifest (keine Anmeldung nötig): öffnen Sie ihredomain.de/wp-content/plugins/funnel-builder/readme.txt in einem Browser. Die Zeile Stable tag: nahe dem Anfang ist die Version, die Ihre Funnel-Builder-Installation meldet, und dies ist dieselbe öffentliche Datei, die ich gelesen habe.

Aus dem WordPress-Administrationsbereich (falls Sie Zugang haben):

  1. Melden Sie sich in Ihrem WordPress-Dashboard an (üblicherweise unter ihredomain.de/wp-admin).
  2. Gehen Sie zu Plugins dann Installierte Plugins.
  3. Suchen Sie nach Funnel Builder (es kann als Funnel Builder for WooCommerce oder FunnelKit erscheinen) und notieren Sie die unter dem Namen angezeigte Version.

Wenn die Version irgendetwas unter 3.15.0.3 ist, setzen Sie eine betroffene Version ein und sollten aktualisieren. 3.15.0.3 und neuer sind behoben.

So aktualisieren Sie

Der sicherste Weg ist die Aktualisierung über WordPress selbst, und zwar nach einer Sicherung:

  1. Sichern Sie Ihre Website (Dateien und Datenbank), bevor Sie Änderungen vornehmen. Die meisten Hosting-Anbieter bieten Ein-Klick-Sicherungen an, oder Sie verwenden ein WordPress-Backup-Plugin.
  2. Gehen Sie in der WordPress-Administration zu Dashboard dann Aktualisierungen, oder Plugins dann Installierte Plugins. Wenn ein Funnel-Builder-Update aufgeführt ist, installieren Sie es von hier aus.
  3. Wenn dort kein Update erscheint, können Sie die aktuelle Version direkt von der Seite des Plugins im WordPress.org-Verzeichnis beziehen, Funnel Builder by FunnelKit, und über Plugins dann Plugin installieren dann Plugin hochladen aktualisieren.
  4. Bestätigen Sie nach dem Update die neue Versionsnummer (3.15.0.3 oder neuer) anhand der obigen Schritte und prüfen Sie, ob Ihre Kasse normal lädt und eine Testbestellung normal abschließt.

Wenn Sie schon dabei sind, lohnt es sich zu bestätigen, dass WordPress-Kern, WooCommerce und Ihre übrigen Plugins aktuell sind, denn dasselbe Prinzip gilt für alle.

Wenn Sie eine betroffene Version genutzt haben

Da diese Schwachstelle ausgenutzt wird, um Skripte zum Abgreifen von Zahlungsdaten zu platzieren, sollte ein Shop, der eine betroffene Version einsetzte, nicht davon ausgehen, dass ein bloßes Update ausreicht. Das Update beseitigt die Schwachstelle, aber es entfernt nicht ein Skript, das ein Angreifer möglicherweise bereits eingeschleust hat. Sie (oder Ihr Webmaster) sollten das auf Ihrer eigenen Website prüfen:

  • Überprüfen Sie die Einstellung “External Scripts” des Plugins. Sehen Sie sich in den Einstellungen von FunnelKit / Funnel Builder alle globalen Header-/Footer- oder “External Scripts”-Einträge an, die für Ihre Kasse gelten, und entfernen Sie alles, was Sie nicht selbst hinzugefügt haben: insbesondere ein Skript, das vorgibt, Google Tag Manager, Analyse oder ein Pixel zu sein, das Sie aber nicht eingerichtet haben.
  • Sehen Sie sich den Quelltext einer Kassenseite an. Laden Sie Ihre eigene Kasse in einem Browser, sehen Sie sich den Seitenquelltext an und suchen Sie nach jedem externen <script>, das Sie nicht wiedererkennen, besonders solche, die von einer unbekannten Domain geladen werden. Skimmer sind so gestaltet, dass sie wie gewöhnliche Analyse aussehen.
  • Achten Sie auf Betrugssignale. Ein unerklärlicher Anstieg von Kundenmeldungen über Kartenbetrug nach einer Bestellung bei Ihnen ist ein starkes Indiz dafür, dass ein Skimmer aktiv war.

Wenn Sie eingeschleusten Code finden, behandeln Sie den Shop als kompromittiert: entfernen Sie das schädliche Skript, wechseln Sie Ihre Zugangsdaten (WordPress-Administration, Datenbank, Hosting-Panel und alle API-Schlüssel des Zahlungs-Gateways) und benachrichtigen Sie Ihren Zahlungsdienstleister, da Kartendaten von Kunden möglicherweise offengelegt wurden, und folgen Sie dessen Anweisungen, die Verpflichtungen zur Kundenbenachrichtigung nach PCI-DSS oder lokalem Recht umfassen können. Überprüfen Sie vorsorglich auch Ihre Administratorkonten auf solche, die Sie nicht wiedererkennen. Wenn Ihre Organisation ein IT-Sicherheitsteam hat, beziehen Sie es mit ein.

Um es klar zu sagen: Ich habe Ihre Website nicht auf eines dieser Anzeichen geprüft, und ich weiß nicht, ob Ihre Website betroffen war. Diese Liste steht hier, damit Sie selbst nachsehen können.

Ich habe keinen Webmaster / ich komme nicht weiter

Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.

Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.

Kontakt

Evan Harris, Sicherheitsforscher

Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.

Quellen

Offizielle Hinweise und Nachverfolgung

Hersteller / Plugin

Berichterstattung und Analyse