Aviso de seguridad de FunnelKit (Funnel Builder)
Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web
parece estar ejecutando una versión vulnerable de Funnel Builder by FunnelKit (el plugin
de WordPress funnel-builder, también listado como Funnel Builder for WooCommerce
Checkout). Esta página explica por qué importa y cómo corregirlo.
Este aviso se refiere a CVE-2026-47100, una vulnerabilidad crítica, explotada activamente (CVSS 8.7), que permite a un atacante inyectar su propio JavaScript en sus páginas de pago sin iniciar sesión. Afecta a todas las versiones anteriores a 3.15.0.3 y está corregida en 3.15.0.3. Si está ejecutando una versión afectada, actualice Funnel Builder a 3.15.0.3 o posterior lo antes posible. Dado que este fallo se está explotando para robar datos de tarjetas de pago, también debería revisar su página de pago en busca de código inyectado (consulte Si estaba en una versión afectada más abajo).
Este es un fallo de un plugin, no un fallo del núcleo de WordPress. Un WordPress y un WooCommerce totalmente actualizados no le protegen si el propio plugin Funnel Builder está desactualizado.
¿Es legítimo este mensaje?
Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él, subir nada ni explotar nada.
Lo único que hice fue mirar archivos visibles públicamente que su sitio web ofrece a cada
visitante (del mismo modo que su página de inicio es pública) y anotar el número de versión
que el plugin Funnel Builder publica en esos archivos: su readme.txt público y la etiqueta
de versión que WordPress imprime en los recursos de front-end del plugin. En concreto, no
toqué la función de pago vulnerable, y nada en esta comprobación toca sus datos, su área de
administración ni ninguna parte privada de su sitio.
Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.
Por qué importa
Funnel Builder by FunnelKit es un plugin de embudos de venta y pago muy utilizado para tiendas WooCommerce. En las versiones afectadas, un punto de acceso público de la página de pago puede alcanzarse sin iniciar sesión y sin ningún token de seguridad, y puede usarse para escribir el ajuste global “External Scripts” del plugin, el ajuste que inyecta scripts en cada página de pago. Esa combinación permite a un atacante remoto colocar su propio JavaScript en su página de pago, donde sus clientes escriben su nombre, dirección y datos de tarjeta de pago.
Este es el patrón clásico de web-skimming / Magecart: el script inyectado copia discretamente lo que introducen los compradores y lo envía al atacante, mientras su página de pago sigue funcionando con normalidad, así que nada parece estar mal. La firma de seguridad Sansec informa de que este fallo se está explotando activamente en la práctica, con el código de robo a menudo disfrazado de Google Tag Manager o de un fragmento de analítica para pasar desapercibido.
El fallo recibió una puntuación de 8,7 sobre 10 (gravedad alta). Si mi correo citaba este problema, significa que la versión que informa su sitio cae dentro del rango afectado. No he probado si su sitio concreto es explotable o ya está comprometido, solo que informa de una versión afectada.
La buena noticia: actualizar a una versión corregida cierra el agujero, y la actualización es sencilla.
Cómo comprobar su versión
No tiene que creer en mi palabra sobre qué versión está ejecutando.
Desde el manifiesto público (sin necesidad de iniciar sesión): abra
yourdomain.com/wp-content/plugins/funnel-builder/readme.txt en un navegador. La línea
Stable tag: cerca de la parte superior es la versión que informa su instalación de
Funnel Builder, y este es el mismo archivo público que leí.
Desde el área de administración de WordPress (si tiene acceso):
- Inicie sesión en su panel de WordPress (normalmente en
yourdomain.com/wp-admin). - Vaya a Plugins luego Plugins instalados.
- Busque Funnel Builder (puede aparecer como Funnel Builder for WooCommerce o FunnelKit) y anote la versión que se muestra bajo su nombre.
Si la versión es cualquiera anterior a 3.15.0.3, está en una versión afectada y debería actualizar. 3.15.0.3 y posteriores están corregidas.
Cómo actualizar
La vía más segura es actualizar a través del propio WordPress, y hacer antes una copia de seguridad:
- Haga una copia de seguridad de su sitio (archivos y base de datos) antes de realizar cambios. La mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o use un plugin de copia de seguridad de WordPress.
- En la administración de WordPress, vaya a Escritorio luego Actualizaciones, o Plugins luego Plugins instalados. Si aparece una actualización de Funnel Builder, instálela desde aquí.
- Si no aparece ninguna actualización, puede obtener la última versión directamente desde la página del plugin en el directorio de WordPress.org, Funnel Builder by FunnelKit, y actualizar mediante Plugins luego Añadir nuevo plugin luego Subir plugin.
- Después de actualizar, confirme el nuevo número de versión (3.15.0.3 o posterior) con los pasos anteriores, y compruebe que su página de pago carga y completa un pedido de prueba con normalidad.
Ya que está en ello, conviene confirmar que el núcleo de WordPress, WooCommerce y sus demás plugins están actualizados, ya que el mismo principio se aplica a todos ellos.
Si estaba en una versión afectada
Dado que este fallo se está explotando para colocar scripts de robo de datos de pago, una tienda que ejecutó una versión afectada no debería suponer que simplemente actualizar sea suficiente. La actualización elimina la vulnerabilidad, pero no elimina ningún script que un atacante ya pudiera haber inyectado. Usted (o su webmaster) debería comprobarlo en su propio sitio:
- Revise el ajuste “External Scripts” del plugin. En los ajustes de FunnelKit / Funnel Builder, examine cualquier entrada global de cabecera/pie o de “External Scripts” que se aplique a su página de pago, y elimine todo lo que no haya añadido usted mismo, especialmente un script que afirme ser Google Tag Manager, analítica o un píxel pero que usted no configuró.
- Vea el código fuente de una página de pago. Cargue su propia página de pago en un
navegador, vea el código fuente de la página y busque cualquier
<script>externo que no reconozca, en particular los que cargan desde un dominio desconocido. Los robadores están diseñados para parecer analítica corriente. - Esté atento a señales de fraude. Un aumento inexplicable de informes de clientes sobre fraude con tarjeta tras comprar en su tienda es un fuerte indicador de que un robador estuvo activo.
Si encuentra código inyectado, trate la tienda como comprometida: elimine el script fraudulento, rote sus credenciales (administración de WordPress, base de datos, panel de alojamiento y cualquier clave de API de pasarela de pago) y, dado que los datos de tarjeta de los clientes pueden haber quedado expuestos, notifique a su procesador de pagos y siga sus indicaciones, que pueden incluir obligaciones de notificación a clientes en virtud de PCI-DSS o la legislación local. Como precaución, revise también sus cuentas de administrador en busca de alguna que no reconozca. Si su organización tiene un equipo de seguridad informática, involúcrelos.
Quiero dejarlo claro: no he comprobado su sitio en busca de ninguno de estos indicadores, y no sé si su sitio se vio afectado. Esta lista está aquí para que pueda comprobarlo usted mismo.
No tengo webmaster / estoy atascado
Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.
Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.
Contacto
Evan Harris, investigador de seguridad
- Correo electrónico: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.
Referencias
Avisos oficiales y seguimiento
Proveedor / plugin
Informes y análisis