Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că site-ul dumneavoastră pare să ruleze o versiune vulnerabilă a Funnel Builder by FunnelKit (pluginul WordPress funnel-builder, listat și ca Funnel Builder for WooCommerce Checkout). Această pagină explică de ce contează acest lucru și cum se remediază.

Această notificare privește CVE-2026-47100, o vulnerabilitate critică, exploatată activ (CVSS 8.7), care permite unui atacator să injecteze propriul cod JavaScript în paginile dumneavoastră de finalizare a comenzii fără a se autentifica. Ea afectează toate versiunile anterioare 3.15.0.3 și este remediată în 3.15.0.3. Dacă rulați o versiune afectată, actualizați Funnel Builder la 3.15.0.3 sau o versiune ulterioară cât mai curând posibil. Deoarece această vulnerabilitate este exploatată pentru a fura datele cardurilor de plată, ar trebui de asemenea să verificați finalizarea comenzii pentru cod injectat (consultați Dacă ați folosit o versiune afectată mai jos).

Aceasta este o vulnerabilitate a unui plugin, nu a nucleului WordPress. Un WordPress și un WooCommerce complet actualizate nu vă protejează dacă pluginul Funnel Builder în sine este învechit.

Este acest mesaj legitim?

Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el, să încarc ceva sau să exploatez ceva.

Tot ce am făcut a fost să mă uit la fișiere vizibile public pe care site-ul dumneavoastră le servește fiecărui vizitator (la fel cum pagina dumneavoastră de start este publică) și să notez numărul versiunii pe care pluginul Funnel Builder îl publică în acele fișiere: fișierul său public readme.txt și eticheta de versiune pe care WordPress o aplică pe resursele front-end ale pluginului. În mod special, nu am atins funcția vulnerabilă de finalizare a comenzii, iar nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului.

Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.

De ce contează

Funnel Builder by FunnelKit este un plugin de tip sales-funnel și de finalizare a comenzii foarte răspândit pentru magazinele WooCommerce. În versiunile afectate, un endpoint public de finalizare a comenzii poate fi accesat fără autentificare și fără niciun token de securitate, iar acesta poate fi folosit pentru a scrie setarea globală “External Scripts” a pluginului, setarea care injectează scripturi în fiecare pagină de finalizare a comenzii. Această combinație permite unui atacator la distanță să plaseze propriul cod JavaScript pe pagina dumneavoastră de finalizare a comenzii, acolo unde clienții dumneavoastră își tastează numele, adresa și datele cardului de plată.

Acesta este tiparul clasic web-skimming / Magecart: scriptul injectat copiază în tăcere ceea ce introduc cumpărătorii și îl trimite atacatorului, în timp ce finalizarea comenzii continuă să funcționeze normal, așa că nimic nu pare în neregulă. Firma de securitate Sansec raportează că această vulnerabilitate este exploatată activ în mediul real, iar codul de furt de date este adesea deghizat în Google Tag Manager sau într-un fragment de analiză ca să se integreze discret.

Vulnerabilitatea a primit scorul 8,7 din 10 (severitate ridicată). Dacă e-mailul meu a citat această problemă, înseamnă că versiunea raportată de site-ul dumneavoastră se încadrează în intervalul afectat. Nu am testat dacă site-ul dumneavoastră anume este exploatabil sau deja compromis, ci doar că raportează o versiune afectată.

Vestea bună: actualizarea la o versiune remediată închide breșa, iar actualizarea este simplă.

Cum să vă verificați versiunea

Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați.

Din manifestul public (nu este nevoie de autentificare): deschideți yourdomain.com/wp-content/plugins/funnel-builder/readme.txt într-un browser. Linia Stable tag: din partea de sus este versiunea pe care o raportează instalarea dumneavoastră de Funnel Builder, iar acesta este același fișier public pe care l-am citit eu.

Din zona de administrare WordPress (dacă aveți acces):

  1. Autentificați-vă în panoul WordPress (de obicei la yourdomain.com/wp-admin).
  2. Accesați Plugins apoi Installed Plugins.
  3. Căutați Funnel Builder (poate apărea ca Funnel Builder for WooCommerce sau FunnelKit) și notați versiunea afișată sub numele său.

Dacă versiunea este orice valoare sub 3.15.0.3, folosiți o versiune afectată și ar trebui să actualizați. 3.15.0.3 și versiunile ulterioare sunt remediate.

Cum să actualizați

Cea mai sigură cale este să actualizați prin WordPress însuși și să faceți mai întâi o copie de rezervă:

  1. Faceți o copie de rezervă a site-ului (fișiere și baza de date) înainte de a face modificări. Majoritatea furnizorilor de găzduire oferă copii de rezervă cu un singur clic sau folosiți un plugin de backup pentru WordPress.
  2. În administrarea WordPress, accesați Dashboard apoi Updates, sau Plugins apoi Installed Plugins. Dacă este listată o actualizare Funnel Builder, instalați-o de aici.
  3. Dacă nu apare nicio actualizare, puteți obține cea mai recentă versiune direct de pe pagina pluginului din directorul WordPress.org, Funnel Builder by FunnelKit, și actualizați prin Plugins apoi Add New Plugin apoi Upload Plugin.
  4. După actualizare, confirmați noul număr al versiunii (3.15.0.3 sau o versiune ulterioară) folosind pașii de mai sus și verificați că finalizarea comenzii se încarcă și duce la bun sfârșit o comandă de test în mod normal.

Cât timp sunteți acolo, merită să confirmați că nucleul WordPress, WooCommerce și celelalte pluginuri ale dumneavoastră sunt actualizate, deoarece același principiu se aplică tuturor.

Dacă ați folosit o versiune afectată

Deoarece această vulnerabilitate este exploatată pentru a planta scripturi de furt al datelor de plată, un magazin care a rulat o versiune afectată nu ar trebui să presupună că simpla actualizare este suficientă. Actualizarea elimină vulnerabilitatea, dar nu elimină vreun script pe care un atacator l-ar fi putut injecta deja. Dumneavoastră (sau webmasterul dumneavoastră) ar trebui să verificați acest lucru pe propriul dumneavoastră site:

  • Examinați setarea “External Scripts” a pluginului. În setările FunnelKit / Funnel Builder, uitați-vă la orice intrare globală de header/footer sau de tip “External Scripts” care se aplică finalizării comenzii dumneavoastră și eliminați orice nu ați adăugat chiar dumneavoastră, în special un script care pretinde a fi Google Tag Manager, o analiză sau un pixel, dar pe care nu l-ați configurat.
  • Vizualizați codul sursă al unei pagini de finalizare a comenzii. Încărcați propria pagină de finalizare a comenzii într-un browser, vizualizați codul sursă al paginii și căutați orice <script> extern pe care nu îl recunoașteți, în special cele încărcate de pe un domeniu nefamiliar. Programele de furt de date sunt concepute să arate ca o analiză obișnuită.
  • Fiți atent la semnalele de fraudă. O creștere neexplicată a rapoartelor clienților privind fraude cu carduri după ce au comandat de la dumneavoastră este un indiciu puternic că un program de furt de date a fost activ.

Dacă găsiți cod injectat, tratați magazinul ca fiind compromis: eliminați scriptul răuvoitor, schimbați toate credențialele (administrarea WordPress, baza de date, panoul de găzduire și orice chei API ale gateway-ului de plată) și, deoarece este posibil ca datele cardurilor clienților să fi fost expuse, anunțați procesatorul dumneavoastră de plăți și urmați îndrumările acestuia, care pot include obligații de notificare a clienților în temeiul PCI-DSS sau al legislației locale. Ca măsură de precauție, examinați de asemenea conturile de administrator pentru oricare pe care nu îl recunoașteți. Dacă organizația dumneavoastră are o echipă de securitate IT, implicați-i.

Vreau să fiu clar: nu am verificat site-ul dumneavoastră pentru niciunul dintre acești indicatori și nu știu dacă site-ul dumneavoastră a fost afectat. Această listă este aici ca să puteți verifica dumneavoastră.

Nu am un webmaster / m-am blocat

Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.

Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.

Contact

Evan Harris, cercetător în securitate

Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.

Referințe

Buletine oficiale și urmărire

Producător / plugin

Relatări și analiză