Ako ste od mene primili e-poštu koja vas upućuje na ovu stranicu, to je zato što vaše web-mjesto, čini se, koristi ranjivu verziju Funnel Buildera by FunnelKit (WordPress dodatka funnel-builder, naveden i kao Funnel Builder for WooCommerce Checkout). Ova stranica objašnjava zašto je to važno i kako to popraviti.

Ova se obavijest odnosi na CVE-2026-47100, kritičnu, aktivno iskorištavanu ranjivost (CVSS 8.7) koja napadaču omogućuje da ubaci vlastiti JavaScript u vaše stranice naplate bez prijave. Zahvaća sve verzije prije 3.15.0.3, a ispravljena je u verziji 3.15.0.3. Ako koristite zahvaćenu verziju, ažurirajte Funnel Builder na 3.15.0.3 ili noviji što je prije moguće. Budući da se ova ranjivost iskorištava za krađu podataka o platnim karticama, trebali biste također provjeriti ima li na vašoj stranici naplate ubačenog koda (vidi Ako ste koristili zahvaćenu verziju u nastavku).

Ovo je ranjivost dodatka, a ne jezgre WordPressa. Potpuno ažurni WordPress i WooCommerce vas ne štite ako je sam dodatak Funnel Builder zastario.

Je li ova poruka vjerodostojna?

Da. Ovo je dobronamjerna obavijest po načelu odgovorne objave od neovisnog istraživača sigurnosti. Ne tražim od vas novac, lozinke ni pristup vašem web-mjestu i nisam pokušavao provaliti u njega, bilo što učitati niti bilo što iskoristiti.

Sve što sam učinio jest da sam pogledao javno vidljive datoteke koje vaše web-mjesto poslužuje svakom posjetitelju (na isti način na koji je vaša naslovnica javna) i zabilježio broj verzije koji dodatak Funnel Builder objavljuje u tim datotekama: njegovu javnu datoteku readme.txt i oznaku verzije koju WordPress utiskuje u datoteke dodatka vidljive na prednjem dijelu web-mjesta. Ranjive značajke naplate izričito se nisam dotaknuo, a ništa u ovoj provjeri ne dira vaše podatke, vašu administratorsku zonu ni bilo koji privatni dio vašeg web-mjesta.

Ako želite provjeriti tko sam, pogledajte kontaktne podatke na dnu ove stranice i stranicu O meni.

Zašto je ovo važno

Funnel Builder by FunnelKit vrlo je raširen dodatak za prodajne lijevke i naplatu za WooCommerce trgovine. U zahvaćenim verzijama, javnoj krajnjoj točki naplate može se pristupiti bez prijave i bez ikakvog sigurnosnog tokena, a može se iskoristiti za pisanje globalne postavke dodatka “External Scripts” (Vanjske skripte): postavke koja ubacuje skripte u svaku stranicu naplate. Ta kombinacija omogućuje udaljenom napadaču da postavi vlastiti JavaScript na vašu naplatu, ondje gdje vaši kupci upisuju svoje ime, adresu i podatke o platnoj kartici.

Ovo je klasičan obrazac web-skimminga / Magecarta: ubačena skripta tiho kopira ono što kupci unose i šalje to napadaču, dok vaša naplata nastavlja normalno raditi pa se čini da ništa nije u redu. Sigurnosna tvrtka Sansec izvještava da se ova ranjivost aktivno iskorištava u stvarnim uvjetima, pri čemu je kod za skimming često prerušen u Google Tag Manager ili isječak za analitiku kako bi se stopio s okolinom.

Ranjivost je ocijenjena s 8,7 od 10 (visoka ozbiljnost). Ako je moja e-pošta navela ovaj problem, to znači da verzija koju vaše web-mjesto prijavljuje spada u zahvaćeni raspon. Nisam testirao je li vaše konkretno web-mjesto iskoristivo ili već kompromitirano, samo da prijavljuje zahvaćenu verziju.

Dobra vijest: ažuriranje na ispravljenu verziju zatvara rupu, a ažuriranje je jednostavno.

Kako provjeriti svoju verziju

Ne morate mi vjerovati na riječ o tome koju verziju koristite.

Iz javnog manifesta (prijava nije potrebna): otvorite u pregledniku yourdomain.com/wp-content/plugins/funnel-builder/readme.txt. Redak Stable tag: blizu vrha verzija je koju vaša instalacija Funnel Buildera prijavljuje, a to je ista javna datoteka koju sam ja pročitao.

Iz administratorske zone WordPressa (ako imate pristup):

  1. Prijavite se na svoju WordPress nadzornu ploču (obično na yourdomain.com/wp-admin).
  2. Idite na Plugins pa Installed Plugins.
  3. Pronađite Funnel Builder (može se prikazati kao Funnel Builder for WooCommerce ili FunnelKit) i zabilježite verziju navedenu ispod njegova naziva.

Ako je verzija bilo koja niža od 3.15.0.3, koristite zahvaćenu verziju i trebali biste se ažurirati. 3.15.0.3 i novije su ispravljene.

Kako se nadograditi

Najsigurniji put jest ažuriranje kroz sam WordPress, uz prethodno stvaranje sigurnosne kopije:

  1. Napravite sigurnosnu kopiju svog web-mjesta (datoteke i baza podataka) prije unošenja izmjena. Većina pružatelja usluga hostinga nudi sigurnosne kopije jednim klikom, ili upotrijebite WordPress dodatak za sigurnosno kopiranje.
  2. U administratorskoj zoni WordPressa idite na Dashboard pa Updates, ili Plugins pa Installed Plugins. Ako je ažuriranje Funnel Buildera navedeno, instalirajte ga odavde.
  3. Ako se ažuriranje ne pojavi, najnovije izdanje možete preuzeti izravno sa stranice dodatka u direktoriju WordPress.org, Funnel Builder by FunnelKit, i ažurirati putem Plugins pa Add New Plugin pa Upload Plugin.
  4. Nakon ažuriranja potvrdite novi broj verzije (3.15.0.3 ili noviji) prema gornjim koracima i provjerite da se vaša naplata učitava i da testna narudžba prolazi normalno.

Kad ste već tu, vrijedi potvrditi da su jezgra WordPressa, WooCommerce i vaši ostali dodaci ažurni, budući da isto načelo vrijedi za sve njih.

Ako ste koristili zahvaćenu verziju

Budući da se ova ranjivost iskorištava za postavljanje skripti za krađu podataka o platnim karticama, trgovina na kojoj je radila zahvaćena verzija ne bi trebala pretpostaviti da je puko ažuriranje dovoljno. Ažuriranje uklanja ranjivost, ali ne uklanja skriptu koju je napadač možda već ubacio. Vi (ili vaš webmaster) trebali biste to provjeriti na vlastitoj stranici:

  • Pregledajte postavku dodatka “External Scripts”. U postavkama FunnelKita / Funnel Buildera pogledajte sve globalne unose zaglavlja/podnožja ili “External Scripts” koji se primjenjuju na vašu naplatu i uklonite sve što niste sami dodali, osobito skriptu koja tvrdi da je Google Tag Manager, analitika ili piksel, a koju niste vi konfigurirali.
  • Pogledajte izvorni kod stranice naplate. Učitajte vlastitu naplatu u pregledniku, pogledajte izvor stranice i potražite bilo koju vanjsku <script> oznaku koju ne prepoznajete, osobito one koje se učitavaju s nepoznate domene. Skimmeri su osmišljeni tako da izgledaju kao obična analitika.
  • Pazite na znakove prijevare. Neobjašnjiv porast prijava kupaca o prijevari s karticama nakon naručivanja kod vas snažan je pokazatelj da je skimmer bio aktivan.

Ako pronađete ubačeni kod, tretirajte trgovinu kao kompromitiranu: uklonite zlonamjernu skriptu, promijenite svoje vjerodajnice (WordPress administracija, baza podataka, hosting panel i svi API ključevi platnog pristupnika) i, budući da su podaci o karticama kupaca možda izloženi, obavijestite svog procesora plaćanja te slijedite njegove upute, koje mogu uključivati obveze obavještavanja kupaca prema PCI-DSS-u ili lokalnom zakonu. Kao mjeru opreza, pregledajte i svoje administratorske račune ima li ijednog koji ne prepoznajete. Ako vaša organizacija ima tim za IT sigurnost, uključite ih.

Želim biti jasan: nisam provjeravao vaše web-mjesto ni na jedan od ovih pokazatelja i ne znam je li vaše web-mjesto bilo zahvaćeno. Ovaj je popis ovdje kako biste mogli provjeriti sami.

Nemam webmastera / zapeo sam

Ako niste osoba koja održava web-mjesto, molim vas proslijedite ovu stranicu onome tko to radi (vašem web-programeru, agenciji ili pružatelju usluga hostinga). Oni će brzo prepoznati gornje korake.

Ako sami održavate web-mjesto i zapnete, rado ću vam besplatno pomoći usmjeriti vas u pravom smjeru. Javite se koristeći kontaktne podatke u nastavku.

Kontakt

Evan Harris, istraživač sigurnosti

Obraćam se u vezi s ovakvim problemima isključivo kako bih pomogao operaterima osigurati njihova web-mjesta. Ako biste radije da vas se više ne kontaktira, samo mi javite i to ću poštovati.

Reference

Službene obavijesti i praćenje

Proizvođač / dodatak

Izvještavanje i analiza