Αν λάβατε ένα email από εμένα που σας παραπέμπει σε αυτή τη σελίδα, αυτό συμβαίνει επειδή ο ιστότοπός σας φαίνεται να εκτελεί μια ευάλωτη έκδοση του Funnel Builder by FunnelKit (το πρόσθετο WordPress funnel-builder, που αναφέρεται επίσης ως Funnel Builder for WooCommerce Checkout). Αυτή η σελίδα εξηγεί γιατί αυτό έχει σημασία και πώς να το διορθώσετε.

Αυτή η ειδοποίηση αφορά την CVE-2026-47100, μια κρίσιμη, ενεργά αξιοποιούμενη ευπάθεια (CVSS 8.7) που επιτρέπει σε έναν επιτιθέμενο να εισάγει τον δικό του JavaScript στις σελίδες ταμείου σας χωρίς σύνδεση. Επηρεάζει όλες τις εκδόσεις πριν από την 3.15.0.3 και έχει διορθωθεί στην 3.15.0.3. Αν χρησιμοποιείτε μια επηρεαζόμενη έκδοση, ενημερώστε το Funnel Builder στην 3.15.0.3 ή νεότερη το συντομότερο δυνατό. Επειδή αυτή η ευπάθεια αξιοποιείται για την κλοπή στοιχείων καρτών πληρωμής, θα πρέπει επίσης να ελέγξετε το ταμείο σας για ενέσιμο κώδικα (δείτε Αν χρησιμοποιούσατε μια επηρεαζόμενη έκδοση παρακάτω).

Πρόκειται για ευπάθεια πρόσθετου, όχι ευπάθεια του πυρήνα WordPress. Ένα πλήρως ενημερωμένο WordPress και WooCommerce δεν σας προστατεύουν αν το ίδιο το πρόσθετο Funnel Builder είναι ξεπερασμένο.

Είναι αυτό το μήνυμα γνήσιο;

Ναι. Πρόκειται για μια καλόπιστη ειδοποίηση υπεύθυνης γνωστοποίησης από έναν ανεξάρτητο ερευνητή ασφαλείας. Δεν σας ζητώ χρήματα, κωδικούς πρόσβασης ή πρόσβαση στον ιστότοπό σας, και δεν έχω επιχειρήσει να εισβάλω σε αυτόν, να μεταφορτώσω οτιδήποτε ή να αξιοποιήσω οτιδήποτε.

Το μόνο που έκανα ήταν να δω δημόσια ορατά αρχεία που ο ιστότοπός σας παρέχει σε κάθε επισκέπτη (με τον ίδιο τρόπο που η αρχική σας σελίδα είναι δημόσια) και να σημειώσω τον αριθμό έκδοσης που το πρόσθετο Funnel Builder δημοσιεύει σε αυτά τα αρχεία: το δημόσιο readme.txt του και την ετικέτα έκδοσης που το WordPress αποτυπώνει στους πόρους front-end του πρόσθετου. Συγκεκριμένα δεν άγγιξα την ευάλωτη λειτουργία ταμείου, και τίποτα σε αυτόν τον έλεγχο δεν αγγίζει τα δεδομένα σας, την περιοχή διαχείρισής σας ή οποιοδήποτε ιδιωτικό μέρος του ιστότοπού σας.

Αν θέλετε να επαληθεύσετε ποιος είμαι, δείτε τα στοιχεία επικοινωνίας στο κάτω μέρος αυτής της σελίδας και τη σελίδα Σχετικά.

Γιατί αυτό έχει σημασία

Το Funnel Builder by FunnelKit είναι ένα ευρέως χρησιμοποιούμενο πρόσθετο διαδικασιών πώλησης (sales funnel) και ταμείου για καταστήματα WooCommerce. Στις επηρεαζόμενες εκδόσεις, ένα δημόσιο endpoint ταμείου μπορεί να προσπελαστεί χωρίς σύνδεση και χωρίς κανένα token ασφαλείας, και μπορεί να χρησιμοποιηθεί για την εγγραφή της καθολικής ρύθμισης “External Scripts” του πρόσθετου: της ρύθμισης που εισάγει scripts σε κάθε σελίδα ταμείου. Αυτός ο συνδυασμός επιτρέπει σε έναν απομακρυσμένο επιτιθέμενο να τοποθετήσει τον δικό του JavaScript στο ταμείο σας, εκεί όπου οι πελάτες σας πληκτρολογούν το όνομα, τη διεύθυνση και τα στοιχεία της κάρτας πληρωμής τους.

Πρόκειται για το κλασικό μοτίβο web-skimming / Magecart: το ενέσιμο script αντιγράφει διακριτικά όσα εισάγουν οι αγοραστές και τα στέλνει στον επιτιθέμενο, ενώ το ταμείο σας συνεχίζει να λειτουργεί κανονικά οπότε τίποτα δεν φαίνεται λάθος. Η εταιρεία ασφαλείας Sansec αναφέρει ότι αυτή η ευπάθεια αξιοποιείται ενεργά στην πράξη, με τον κώδικα υποκλοπής συχνά μεταμφιεσμένο ως Google Tag Manager ή ως ένα απόσπασμα analytics ώστε να περνά απαρατήρητος.

Η ευπάθεια βαθμολογήθηκε με 8.7 στα 10 (υψηλή σοβαρότητα). Αν το email μου ανέφερε αυτό το ζήτημα, σημαίνει ότι η έκδοση που αναφέρει ο ιστότοπός σας εμπίπτει στο επηρεαζόμενο εύρος. Δεν δοκίμασα αν ο συγκεκριμένος ιστότοπός σας είναι εκμεταλλεύσιμος ή ήδη παραβιασμένος, μόνο ότι αναφέρει μια επηρεαζόμενη έκδοση.

Τα καλά νέα: η ενημέρωση σε μια διορθωμένη έκδοση κλείνει την τρύπα, και η ενημέρωση είναι απλή.

Πώς να ελέγξετε την έκδοσή σας

Δεν χρειάζεται να με πιστέψετε για το ποια έκδοση χρησιμοποιείτε.

Από το δημόσιο μανιφέστο (δεν απαιτείται σύνδεση): ανοίξτε το yourdomain.com/wp-content/plugins/funnel-builder/readme.txt σε ένα πρόγραμμα περιήγησης. Η γραμμή Stable tag: κοντά στην κορυφή είναι η έκδοση που αναφέρει η εγκατάσταση Funnel Builder σας, και αυτό είναι το ίδιο δημόσιο αρχείο που διάβασα.

Από την περιοχή διαχείρισης WordPress (αν έχετε πρόσβαση):

  1. Συνδεθείτε στον πίνακα ελέγχου WordPress (συνήθως στο yourdomain.com/wp-admin).
  2. Μεταβείτε στο Plugins έπειτα Installed Plugins.
  3. Βρείτε το Funnel Builder (μπορεί να εμφανίζεται ως Funnel Builder for WooCommerce ή FunnelKit) και σημειώστε την έκδοση που εμφανίζεται κάτω από το όνομά του.

Αν η έκδοση είναι οτιδήποτε κάτω από την 3.15.0.3, χρησιμοποιείτε μια επηρεαζόμενη έκδοση και θα πρέπει να ενημερώσετε. Οι 3.15.0.3 και νεότερες είναι διορθωμένες.

Πώς να αναβαθμίσετε

Ο ασφαλέστερος δρόμος είναι η ενημέρωση μέσω του ίδιου του WordPress, αφού πρώτα κρατήσετε αντίγραφο ασφαλείας:

  1. Κρατήστε αντίγραφο ασφαλείας του ιστότοπού σας (αρχεία και βάση δεδομένων) πριν κάνετε αλλαγές. Οι περισσότεροι πάροχοι φιλοξενίας προσφέρουν αντίγραφα ασφαλείας με ένα κλικ, ή χρησιμοποιήστε ένα πρόσθετο αντιγράφων ασφαλείας WordPress.
  2. Στη διαχείριση WordPress, μεταβείτε στο Dashboard έπειτα Updates, ή Plugins έπειτα Installed Plugins. Αν εμφανίζεται μια ενημέρωση Funnel Builder στη λίστα, εγκαταστήστε την από εδώ.
  3. Αν δεν εμφανιστεί καμία ενημέρωση, μπορείτε να λάβετε την τελευταία έκδοση απευθείας από τη σελίδα του πρόσθετου στον κατάλογο WordPress.org, Funnel Builder by FunnelKit, και να ενημερώσετε μέσω Plugins έπειτα Add New Plugin έπειτα Upload Plugin.
  4. Μετά την ενημέρωση, επιβεβαιώστε τον νέο αριθμό έκδοσης (3.15.0.3 ή νεότερο) χρησιμοποιώντας τα παραπάνω βήματα, και ελέγξτε ότι το ταμείο σας φορτώνει και ολοκληρώνει μια δοκιμαστική παραγγελία κανονικά.

Ενόσω βρίσκεστε εκεί, αξίζει να επιβεβαιώσετε ότι ο πυρήνας WordPress, το WooCommerce και τα άλλα σας πρόσθετα είναι ενημερωμένα, καθώς η ίδια αρχή ισχύει για όλα τους.

Αν χρησιμοποιούσατε μια επηρεαζόμενη έκδοση

Επειδή αυτή η ευπάθεια αξιοποιείται για την τοποθέτηση scripts υποκλοπής πληρωμών, ένα κατάστημα που εκτελούσε μια επηρεαζόμενη έκδοση δεν θα πρέπει να υποθέσει ότι απλώς η ενημέρωση είναι αρκετή. Η ενημέρωση αφαιρεί την ευπάθεια, αλλά δεν αφαιρεί οποιοδήποτε script μπορεί να έχει ήδη εισάγει ένας επιτιθέμενος. Εσείς (ή ο webmaster σας) θα πρέπει να το ελέγξετε αυτό στον δικό σας ιστότοπο:

  • Ελέγξτε τη ρύθμιση “External Scripts” του πρόσθετου. Στις ρυθμίσεις FunnelKit / Funnel Builder, εξετάστε τυχόν καθολικές καταχωρίσεις header/footer ή “External Scripts” που ισχύουν για το ταμείο σας, και αφαιρέστε οτιδήποτε δεν προσθέσατε εσείς οι ίδιοι: ιδιαίτερα ένα script που ισχυρίζεται ότι είναι Google Tag Manager, analytics ή pixel αλλά που δεν ρυθμίσατε εσείς.
  • Δείτε τον πηγαίο κώδικα μιας σελίδας ταμείου. Φορτώστε το δικό σας ταμείο σε ένα πρόγραμμα περιήγησης, δείτε τον πηγαίο κώδικα της σελίδας, και αναζητήστε οποιοδήποτε εξωτερικό <script> δεν αναγνωρίζετε, ιδίως αυτά που φορτώνουν από ένα άγνωστο domain. Οι υποκλοπείς (skimmers) είναι σχεδιασμένοι να μοιάζουν με συνηθισμένα analytics.
  • Προσέξτε για ενδείξεις απάτης. Μια ανεξήγητη αύξηση σε αναφορές πελατών για απάτη με κάρτες μετά από παραγγελία από εσάς είναι ισχυρή ένδειξη ότι ένας υποκλοπέας ήταν ενεργός.

Αν βρείτε ενέσιμο κώδικα, αντιμετωπίστε το κατάστημα ως παραβιασμένο: αφαιρέστε το παράνομο script, αλλάξτε τα διαπιστευτήριά σας (διαχείριση WordPress, βάση δεδομένων, πίνακα φιλοξενίας, και τυχόν κλειδιά API πύλης πληρωμών), και, επειδή δεδομένα καρτών πελατών μπορεί να έχουν εκτεθεί, ειδοποιήστε τον πάροχο επεξεργασίας πληρωμών σας και ακολουθήστε τις οδηγίες του, οι οποίες μπορεί να περιλαμβάνουν υποχρεώσεις ειδοποίησης πελατών βάσει του PCI-DSS ή της τοπικής νομοθεσίας. Ως προληπτικό μέτρο, ελέγξτε επίσης τους λογαριασμούς διαχειριστή σας για όποιον δεν αναγνωρίζετε. Αν ο οργανισμός σας έχει ομάδα ασφάλειας IT, εμπλέξτε τους.

Θέλω να είμαι σαφής: δεν έχω ελέγξει τον ιστότοπό σας για κανέναν από αυτούς τους δείκτες, και δεν γνωρίζω αν ο ιστότοπός σας επηρεάστηκε. Αυτή η λίστα βρίσκεται εδώ ώστε να μπορείτε να ελέγξετε μόνοι σας.

Δεν έχω webmaster / έχω κολλήσει

Αν δεν είστε το άτομο που συντηρεί τον ιστότοπο, παρακαλώ προωθήστε αυτή τη σελίδα σε όποιον το κάνει (τον προγραμματιστή σας, το πρακτορείο ή τον πάροχο φιλοξενίας σας). Θα αναγνωρίσουν τα παραπάνω βήματα γρήγορα.

Αν συντηρείτε τον ιστότοπο μόνοι σας και κολλήσετε, με χαρά θα σας βοηθήσω να κατευθυνθείτε προς τη σωστή κατεύθυνση χωρίς κόστος. Επικοινωνήστε χρησιμοποιώντας τα παρακάτω στοιχεία επικοινωνίας.

Επικοινωνία

Evan Harris, Ερευνητής Ασφαλείας

Έρχομαι σε επαφή για ζητήματα όπως αυτό αποκλειστικά για να βοηθήσω τους διαχειριστές να ασφαλίσουν τους ιστότοπούς τους. Αν προτιμάτε να μην επικοινωνήσω ξανά μαζί σας, απλώς ενημερώστε με και θα το σεβαστώ.

Αναφορές

Επίσημες ειδοποιήσεις και παρακολούθηση

Κατασκευαστής / πρόσθετο

Αναφορά και ανάλυση