Повідомлення про безпеку FunnelKit (Funnel Builder)
Якщо ви отримали від мене листа з посиланням на цю сторінку, то тому, що ваш сайт,
судячи з усього, використовує вразливу версію Funnel Builder by FunnelKit (плагін
WordPress funnel-builder, також відомий як Funnel Builder for WooCommerce Checkout).
На цій сторінці пояснюється, чому це важливо і як це виправити.
Це повідомлення стосується вразливості CVE-2026-47100, критичної, активно експлуатованої вразливості (CVSS 8.7), яка дозволяє зловмиснику впровадити власний JavaScript у ваші сторінки оформлення замовлення без входу в систему. Вона зачіпає усі версії до 3.15.0.3 і усунена у версії 3.15.0.3. Якщо ви використовуєте уражену версію, оновіть Funnel Builder до 3.15.0.3 або новішої якнайшвидше. Оскільки цю вразливість експлуатують для викрадення даних платіжних карток, вам також слід перевірити сторінку оформлення замовлення на впроваджений код (див. Якщо ви використовували уражену версію нижче).
Це вразливість плагіна, а не ядра WordPress. Повністю актуальні WordPress і WooCommerce не захищають вас, якщо сам плагін Funnel Builder застарілий.
Чи є це повідомлення справжнім?
Так. Це добросовісне повідомлення в рамках відповідального розкриття інформації від незалежного дослідника безпеки. Я не прошу у вас грошей, паролів чи доступу до вашого сайту і не намагався проникнути до нього, щось завантажити чи щось експлуатувати.
Усе, що я зробив: переглянув публічно доступні файли, які ваш сайт надає
кожному відвідувачу (так само, як публічна ваша головна сторінка), і зазначив номер
версії, який плагін Funnel Builder публікує в цих файлах: його публічний readme.txt
та тег версії, який WordPress проставляє на клієнтських ресурсах плагіна. Уразливої
функції оформлення замовлення я спеціально не торкався, і ніщо в цій перевірці не
зачіпає ваші дані, вашу адміністративну панель чи будь-яку приватну частину вашого сайту.
Якщо ви хочете переконатися в тому, хто я, ознайомтеся з контактними даними внизу цієї сторінки та на сторінці Про мене.
Чому це важливо
Funnel Builder by FunnelKit є широко використовуваним плагіном для воронок продажів і оформлення замовлення для магазинів на WooCommerce. В уражених версіях публічна кінцева точка оформлення замовлення може бути досягнута без входу в систему і без будь-якого токена безпеки, і її можна використати для запису глобального налаштування плагіна «External Scripts», налаштування, яке впроваджує скрипти в кожну сторінку оформлення замовлення. Це поєднання дозволяє віддаленому зловмиснику розмістити власний JavaScript на вашій сторінці оформлення замовлення, де ваші клієнти вводять своє ім’я, адресу та дані платіжних карток.
Це класична схема веб-скімінгу / Magecart: впроваджений скрипт тихо копіює те, що вводять покупці, і надсилає це зловмиснику, тоді як ваша сторінка оформлення замовлення продовжує працювати як зазвичай, тому нічого не виглядає підозрілим. Компанія з безпеки Sansec повідомляє, що цю вразливість активно експлуатують у реальних умовах, а скімінговий код часто маскують під Google Tag Manager або аналітичний фрагмент, щоб він зливався з рештою.
Вразливість отримала оцінку 8,7 з 10 (висока серйозність). Якщо в моєму листі згадувалася ця проблема, це означає, що версія, про яку повідомляє ваш сайт, потрапляє в уражений діапазон. Я не перевіряв, чи вразливий ваш конкретний сайт чи вже скомпрометований, лише те, що він повідомляє про уражену версію.
Хороша новина: оновлення до виправленої версії закриває пролом, а саме оновлення нескладне.
Як перевірити свою версію
Вам не обов’язково вірити мені на слово щодо того, яку версію ви використовуєте.
З публічного маніфесту (вхід у систему не потрібен): відкрийте у браузері
yourdomain.com/wp-content/plugins/funnel-builder/readme.txt. Рядок Stable tag:
поблизу початку містить версію, про яку повідомляє ваша установка Funnel Builder, і це
той самий публічний файл, який прочитав я.
З адміністративної панелі WordPress (якщо у вас є доступ):
- Увійдіть до панелі керування WordPress (зазвичай за адресою
yourdomain.com/wp-admin). - Перейдіть до Plugins потім Installed Plugins.
- Знайдіть Funnel Builder (він може відображатися як Funnel Builder for WooCommerce або FunnelKit) і запишіть версію, показану під його назвою.
Якщо версія нижча за 3.15.0.3, ви використовуєте уражену версію і вам слід оновитися. Версії 3.15.0.3 і новіші виправлені.
Як оновитися
Найбезпечніший шлях: оновлення через сам WordPress, попередньо створивши резервну копію:
- Створіть резервну копію вашого сайту (файли та база даних) перед внесенням змін. Більшість хостинг-провайдерів пропонують резервне копіювання в один клік, або скористайтеся плагіном резервного копіювання WordPress.
- В адмініструванні WordPress перейдіть до Dashboard потім Updates або Plugins потім Installed Plugins. Якщо оновлення Funnel Builder вказано у списку, встановіть його звідси.
- Якщо там не з’являється оновлення, ви можете отримати останній випуск безпосередньо зі сторінки плагіна в каталозі WordPress.org, Funnel Builder by FunnelKit, і оновити через Plugins потім Add New Plugin потім Upload Plugin.
- Після оновлення підтвердьте новий номер версії (3.15.0.3 або новіша), дотримуючись наведених вище кроків, і перевірте, що ваша сторінка оформлення замовлення завантажується та проходить тестове замовлення нормально.
Раз уже ви цим зайнялися, варто переконатися, що ядро WordPress, WooCommerce та ваші інші плагіни актуальні, оскільки той самий принцип застосовується до всіх із них.
Якщо ви використовували уражену версію
Оскільки цю вразливість експлуатують для встановлення скриптів викрадення платіжних даних, магазин, на якому працювала уражена версія, не повинен вважати, що простого оновлення достатньо. Оновлення усуває вразливість, але воно не видаляє скрипт, який зловмисник міг уже впровадити. Вам (або вашому вебмайстру) слід перевірити це на своєму власному сайті:
- Перевірте налаштування «External Scripts» плагіна. У налаштуваннях FunnelKit / Funnel Builder перегляньте будь-які глобальні записи заголовка/підвалу або «External Scripts», які застосовуються до вашої сторінки оформлення замовлення, і видаліть усе, чого ви не додавали самі, особливо скрипт, який видає себе за Google Tag Manager, аналітику чи піксель, але який ви не налаштовували.
- Перегляньте вихідний код сторінки оформлення замовлення. Завантажте власну сторінку
оформлення замовлення у браузері, перегляньте вихідний код сторінки та знайдіть будь-який
зовнішній
<script>, якого ви не впізнаєте, особливо ті, що завантажуються з незнайомого домену. Скімери створюють так, щоб вони виглядали як звичайна аналітика. - Слідкуйте за ознаками шахрайства. Незрозуміле зростання повідомлень клієнтів про шахрайство з картками після замовлення у вас є вагомим свідченням того, що скімер був активний.
Якщо ви виявите впроваджений код, вважайте магазин скомпрометованим: видаліть шкідливий скрипт, змініть свої облікові дані (адміністрування WordPress, база даних, панель хостингу та будь-які ключі API платіжного шлюзу) і, оскільки дані карток клієнтів могли бути розкриті, повідомте свого платіжного оператора та дотримуйтесь його вказівок, які можуть включати обов’язки з повідомлення клієнтів згідно з PCI-DSS чи місцевим законодавством. Про всяк випадок також перегляньте свої облікові записи адміністраторів на предмет тих, кого ви не впізнаєте. Якщо у вашої організації є команда з IT-безпеки, залучіть їх.
Хочу прояснити: я не перевіряв ваш сайт на жоден із цих індикаторів, і я не знаю, чи був ваш сайт уражений. Цей список наведено тут, щоб ви могли перевірити самі.
У мене немає вебмайстра / я застряг
Якщо ви не та людина, яка обслуговує сайт, будь ласка, перешліть цю сторінку тому, хто це робить (вашому веброзробнику, агенції чи хостинг-провайдеру). Вони швидко впізнають наведені вище кроки.
Якщо ви обслуговуєте сайт самостійно і застрягли, я з радістю безкоштовно допоможу вам знайти правильний напрямок. Зв’яжіться зі мною, використовуючи контактні дані нижче.
Контакти
Evan Harris, дослідник безпеки
- Електронна пошта: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Я звертаюся з подібних питань виключно для того, щоб допомогти операторам захистити їхні сайти. Якщо ви віддаєте перевагу тому, щоб з вами більше не зв’язувалися, просто повідомте мені про це, і я поважатиму це.
Джерела
Офіційні повідомлення та відстеження
Виробник / плагін
Повідомлення та аналіз