Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro sito sembra utilizzare una versione vulnerabile di Funnel Builder by FunnelKit (il plugin WordPress funnel-builder, elencato anche come Funnel Builder for WooCommerce Checkout). Questa pagina spiega perché è importante e come correggere il problema.

Questo avviso riguarda CVE-2026-47100, una falla critica, attivamente sfruttata (CVSS 8.7), che consente a un aggressore di iniettare il proprio codice JavaScript nelle vostre pagine di checkout senza effettuare l’accesso. Interessa tutte le versioni precedenti alla 3.15.0.3 ed è corretta nella 3.15.0.3. Se utilizzate una versione interessata, aggiornate Funnel Builder alla 3.15.0.3 o successiva il prima possibile. Poiché questa falla viene sfruttata per rubare i dati delle carte di pagamento, dovreste inoltre controllare la vostra pagina di checkout alla ricerca di codice iniettato (vedete Se utilizzavate una versione interessata più sotto).

Questa è una falla di un plugin, non del nucleo di WordPress. Un WordPress e un WooCommerce pienamente aggiornati non vi proteggono se il plugin Funnel Builder stesso è obsoleto.

Questo messaggio è legittimo?

Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso, di caricare alcunché o di sfruttare alcunché.

Tutto ciò che ho fatto è stato esaminare file pubblicamente visibili che il vostro sito fornisce a ogni visitatore (allo stesso modo in cui la vostra homepage è pubblica) e annotare il numero di versione che il plugin Funnel Builder pubblica in quei file: il suo readme.txt pubblico e il tag di versione che WordPress applica alle risorse front-end del plugin. In particolare non ho toccato la funzione di checkout vulnerabile, e nulla di questo controllo tocca i vostri dati, la vostra area di amministrazione o alcuna parte privata del vostro sito.

Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.

Perché è importante

Funnel Builder by FunnelKit è un plugin di sales-funnel e checkout molto diffuso per i negozi WooCommerce. Nelle versioni interessate, un endpoint di checkout pubblico può essere raggiunto senza effettuare l’accesso e senza alcun token di sicurezza, e può essere usato per scrivere l’impostazione globale “External Scripts” del plugin, ovvero l’impostazione che inietta script in ogni pagina di checkout. Questa combinazione consente a un aggressore remoto di collocare il proprio codice JavaScript sulla vostra pagina di checkout, dove i vostri clienti digitano il proprio nome, indirizzo e i dati della carta di pagamento.

Si tratta del classico schema di web-skimming / Magecart: lo script iniettato copia in silenzio ciò che gli acquirenti inseriscono e lo invia all’aggressore, mentre la vostra pagina di checkout continua a funzionare normalmente, così nulla sembra fuori posto. La società di sicurezza Sansec segnala che questa falla è attivamente sfruttata in rete, con il codice di skimming spesso camuffato da Google Tag Manager o da uno snippet di analisi per confondersi con il resto.

La falla è stata valutata 8,7 su 10 (gravità elevata). Se la mia email ha citato questo problema, significa che la versione segnalata dal vostro sito rientra nell’intervallo interessato. Non ho verificato se il vostro sito in particolare sia sfruttabile o già compromesso, ma solo che segnala una versione interessata.

La buona notizia: l’aggiornamento a una versione corretta chiude la falla, e l’aggiornamento è semplice.

Come verificare la vostra versione

Non dovete credermi sulla parola riguardo alla versione che state utilizzando.

Dal manifesto pubblico (nessun accesso necessario): aprite vostrodominio.it/wp-content/plugins/funnel-builder/readme.txt in un browser. La riga Stable tag: vicino all’inizio è la versione segnalata dalla vostra installazione di Funnel Builder, ed è lo stesso file pubblico che ho letto.

Dall’area di amministrazione di WordPress (se avete accesso):

  1. Accedete alla vostra bacheca di WordPress (di solito all’indirizzo vostrodominio.it/wp-admin).
  2. Andate su Plugin poi Plugin installati.
  3. Cercate Funnel Builder (potrebbe comparire come Funnel Builder for WooCommerce o FunnelKit) e annotate la versione indicata sotto il suo nome.

Se la versione è inferiore alla 3.15.0.3, utilizzate una versione interessata e dovreste aggiornare. Le versioni 3.15.0.3 e successive sono corrette.

Come aggiornare

Il percorso più sicuro è aggiornare tramite WordPress stesso, effettuando prima un backup:

  1. Eseguite il backup del vostro sito (file e database) prima di apportare modifiche. La maggior parte dei provider di hosting offre backup con un clic, oppure usate un plugin di backup per WordPress.
  2. Nell’amministrazione di WordPress, andate su Bacheca poi Aggiornamenti, oppure Plugin poi Plugin installati. Se un aggiornamento di Funnel Builder è elencato, installatelo da qui.
  3. Se nessun aggiornamento compare, potete scaricare l’ultima versione direttamente dalla pagina del plugin nella directory WordPress.org, Funnel Builder by FunnelKit, e aggiornare tramite Plugin poi Aggiungi nuovo plugin poi Carica plugin.
  4. Dopo l’aggiornamento, confermate il nuovo numero di versione (3.15.0.3 o successiva) seguendo i passaggi sopra, e verificate che la vostra pagina di checkout si carichi e completi un ordine di prova normalmente.

Già che ci siete, vale la pena confermare che il nucleo di WordPress, WooCommerce e i vostri altri plugin siano aggiornati, poiché lo stesso principio vale per tutti.

Se utilizzavate una versione interessata

Poiché questa falla viene sfruttata per collocare script di skimming dei pagamenti, un negozio che utilizzava una versione interessata non dovrebbe presumere che il semplice aggiornamento sia sufficiente. L’aggiornamento rimuove la vulnerabilità, ma non rimuove alcuno script che un aggressore possa aver già iniettato. Voi (o il vostro webmaster) dovreste verificarlo sul vostro sito:

  • Esaminate l’impostazione “External Scripts” del plugin. Nelle impostazioni di FunnelKit / Funnel Builder, controllate eventuali voci globali header/footer o “External Scripts” che si applicano alla vostra pagina di checkout, e rimuovete qualsiasi cosa non abbiate aggiunto voi stessi, in particolare uno script che dichiara di essere Google Tag Manager, uno strumento di analisi o un pixel ma che non avete configurato.
  • Visualizzate il codice sorgente di una pagina di checkout. Caricate la vostra pagina di checkout in un browser, visualizzate il codice sorgente della pagina e cercate qualsiasi <script> esterno che non riconoscete, in particolare quelli caricati da un dominio non familiare. Gli skimmer sono progettati per assomigliare a normali strumenti di analisi.
  • Fate attenzione ai segnali di frode. Un aumento inspiegabile delle segnalazioni di frode con carta da parte dei clienti dopo aver effettuato un ordine da voi è un forte indicatore che uno skimmer era attivo.

Se trovate codice iniettato, trattate il negozio come compromesso: rimuovete lo script fraudolento, cambiate le vostre credenziali (amministrazione di WordPress, database, pannello di hosting e qualsiasi chiave API del gateway di pagamento) e, poiché i dati delle carte dei clienti potrebbero essere stati esposti, avvisate il vostro processore di pagamento e seguite le sue indicazioni, che possono includere obblighi di notifica ai clienti ai sensi del PCI-DSS o della normativa locale. Per precauzione, esaminate anche i vostri account amministratore alla ricerca di eventuali account che non riconoscete. Se la vostra organizzazione dispone di un team di sicurezza IT, coinvolgetelo.

Voglio essere chiaro: non ho controllato il vostro sito alla ricerca di alcuno di questi indicatori, e non so se il vostro sito sia stato interessato. Questo elenco è qui affinché possiate controllare voi stessi.

Non ho un webmaster / sono bloccato

Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.

Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.

Contatti

Evan Harris, Ricercatore di sicurezza

Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.

Riferimenti

Avvisi ufficiali e tracciamento

Fornitore / plugin

Segnalazioni e analisi