Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт, по всей видимости, использует уязвимую версию Funnel Builder by FunnelKit (плагин WordPress funnel-builder, также указываемый как Funnel Builder for WooCommerce Checkout). На этой странице объясняется, почему это важно и как это исправить.

Данное уведомление касается уязвимости CVE-2026-47100, критической, активно эксплуатируемой уязвимости (CVSS 8.7), которая позволяет злоумышленнику внедрить свой собственный код JavaScript в Ваши страницы оформления заказа без входа в систему. Она затрагивает все версии до 3.15.0.3 и устранена в версии 3.15.0.3. Если Вы используете затронутую версию, обновите Funnel Builder до 3.15.0.3 или новее как можно скорее. Поскольку эта уязвимость эксплуатируется для кражи данных платёжных карт, Вам также следует проверить страницу оформления заказа на наличие внедрённого кода (см. Если Вы использовали затронутую версию ниже).

Это уязвимость плагина, а не ядра WordPress. Полностью актуальные WordPress и WooCommerce не защищают Вас, если сам плагин Funnel Builder устарел.

Является ли это сообщение подлинным?

Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него, что-либо загрузить или что-либо эксплуатировать.

Всё, что я сделал, это просмотрел публично доступные файлы, которые Ваш сайт предоставляет каждому посетителю (точно так же, как публична Ваша главная страница), и отметил номер версии, который плагин Funnel Builder публикует в этих файлах: его публичный readme.txt и тег версии, который WordPress проставляет на клиентских ресурсах плагина. Уязвимой функции оформления заказа я специально не касался, и ничто в этой проверке не затрагивает Ваши данные, Вашу административную панель или какую-либо частную часть Вашего сайта.

Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.

Почему это важно

Funnel Builder by FunnelKit представляет собой широко используемый плагин для создания воронок продаж и оформления заказа для магазинов на WooCommerce. В затронутых версиях публичная конечная точка оформления заказа может быть достигнута без входа в систему и без какого-либо токена безопасности, и её можно использовать для записи глобальной настройки плагина “External Scripts” (внешние скрипты), той самой настройки, которая внедряет скрипты в каждую страницу оформления заказа. Это сочетание позволяет удалённому злоумышленнику разместить свой собственный код JavaScript на Вашей странице оформления заказа, где Ваши клиенты вводят своё имя, адрес и данные платёжных карт.

Это классический шаблон веб-скимминга / Magecart: внедрённый скрипт незаметно копирует то, что вводят покупатели, и отправляет это злоумышленнику, тогда как Ваша страница оформления заказа продолжает работать как обычно, так что ничто не выглядит подозрительным. Компания по безопасности Sansec сообщает, что эта уязвимость активно эксплуатируется в реальных условиях, причём код скиммера часто маскируется под Google Tag Manager или фрагмент кода аналитики, чтобы слиться с окружением.

Уязвимость получила оценку 8,7 из 10 (высокая степень серьёзности). Если в моём письме упоминалась эта проблема, это означает, что версия, о которой сообщает Ваш сайт, попадает в затронутый диапазон. Я не проверял, уязвим ли Ваш конкретный сайт или уже скомпрометирован, лишь то, что он сообщает о затронутой версии.

Хорошая новость: обновление до исправленной версии закрывает брешь, а само обновление несложное.

Как проверить свою версию

Вам не обязательно верить мне на слово относительно того, какую версию Вы используете.

Из публичного манифеста (вход в систему не требуется): откройте в браузере yourdomain.com/wp-content/plugins/funnel-builder/readme.txt. Строка Stable tag: вверху содержит версию, о которой сообщает Ваша установка Funnel Builder, и это тот же публичный файл, который прочитал я.

Из административной панели WordPress (если у Вас есть доступ):

  1. Войдите в панель управления WordPress (обычно по адресу yourdomain.com/wp-admin).
  2. Перейдите в Plugins затем Installed Plugins.
  3. Найдите Funnel Builder (он может отображаться как Funnel Builder for WooCommerce или FunnelKit) и запишите версию, указанную под его названием.

Если версия ниже 3.15.0.3, Вы используете затронутую версию и Вам следует обновиться. Версии 3.15.0.3 и новее исправлены.

Как обновиться

Самый безопасный путь: обновление через сам WordPress, предварительно создав резервную копию:

  1. Создайте резервную копию Вашего сайта (файлы и база данных) перед внесением изменений. Большинство хостинг-провайдеров предлагают резервное копирование в один клик, или используйте плагин резервного копирования WordPress.
  2. В административной панели WordPress перейдите в Dashboard затем Updates, или Plugins затем Installed Plugins. Если обновление Funnel Builder указано в списке, установите его отсюда.
  3. Если обновление не появляется, Вы можете получить последний выпуск напрямую со страницы плагина в каталоге WordPress.org, Funnel Builder by FunnelKit, и обновить его через Plugins затем Add New Plugin затем Upload Plugin.
  4. После обновления подтвердите новый номер версии (3.15.0.3 или новее), следуя приведённым выше шагам, и проверьте, что Ваша страница оформления заказа загружается и оформляет тестовый заказ нормально.

Раз уж Вы этим занялись, стоит убедиться, что ядро WordPress, WooCommerce и Ваши прочие плагины актуальны, поскольку тот же принцип применим ко всем из них.

Если Вы использовали затронутую версию

Поскольку эта уязвимость эксплуатируется для внедрения скриптов, крадущих платёжные данные, магазин, на котором работала затронутая версия, не должен полагать, что простого обновления достаточно. Обновление устраняет уязвимость, но оно не удаляет какой-либо скрипт, который злоумышленник мог уже внедрить. Вам (или Вашему веб-мастеру) следует проверить это на своём собственном сайте:

  • Проверьте настройку плагина “External Scripts”. В настройках FunnelKit / Funnel Builder просмотрите любые глобальные записи для заголовка/подвала или “External Scripts”, которые применяются к Вашей странице оформления заказа, и удалите всё, что Вы не добавляли сами, особенно скрипт, который выдаёт себя за Google Tag Manager, аналитику или пиксель, но который Вы не настраивали.
  • Просмотрите исходный код страницы оформления заказа. Загрузите собственную страницу оформления заказа в браузере, откройте исходный код страницы и поищите любой внешний <script>, который Вы не узнаёте, особенно те, что загружаются с незнакомого домена. Скиммеры спроектированы так, чтобы выглядеть как обычная аналитика.
  • Следите за признаками мошенничества. Необъяснимый рост жалоб клиентов на мошенничество с картами после заказа у Вас является веским признаком того, что скиммер был активен.

Если Вы обнаружите внедрённый код, считайте магазин скомпрометированным: удалите вредоносный скрипт, смените свои учётные данные (администрирование WordPress, база данных, панель хостинга и любые ключи API платёжного шлюза) и, поскольку данные карт клиентов могли быть раскрыты, уведомите свой платёжный процессинг и следуйте его указаниям, которые могут включать обязательства по уведомлению клиентов согласно PCI-DSS или местному законодательству. В качестве меры предосторожности также проверьте свои учётные записи администраторов на наличие тех, кого Вы не узнаёте. Если у Вашей организации есть команда по IT-безопасности, привлеките их.

Хочу прояснить: я не проверял Ваш сайт ни на один из этих индикаторов, и я не знаю, был ли Ваш сайт затронут. Этот список приведён здесь, чтобы Вы могли проверить сами.

У меня нет веб-мастера / я застрял

Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.

Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.

Контакты

Evan Harris, исследователь безопасности

Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.

Источники

Официальные уведомления и отслеживание

Производитель / плагин

Отчёты и анализ