Ein kritischer Fehler im Funnel Builder (FunnelKit) Plugin für WordPress wird in realen Umgebungen ausgenutzt, um bösartige JavaScript in WooCommerce Zahlungsseiten zu injizieren und Karten- und Abrechnungsdaten zu stehlen, nach der Analyse, die in dieser Woche von der Sansec Sicherheitsfirma veröffentlicht wurde. Der Fehler betrifft alle Versionen vor 3.15.0.3 und seine Operation erlaubt nicht authentifizierten Schauspielern, beliebigen Code hinzuzufügen, der auf jedem Checkout läuft, die jedem verwundbaren Speicher ein direktes Ziel für bezahlte Skimmer macht.
Die von den Forschern beschriebene Technik nutzt einen öffentlichen Endpunkt, der auf den Checkout ausgerichtet ist, der in alten Versionen keine Genehmigungen überprüft oder begrenzt hat, welche internen Methoden aufgerufen werden könnten. Durch eine nicht authentifizierte Anfrage kann ein Angreifer das kontrollierte Datenschreiben des Angreifers in die globalen Einstellungen des Plugins zwingen und so Skript-Tags in die Option einfügen, die Funnel Builder verwendet, um "Externe Schriften". Bei den beobachteten Vorfällen durchläuft die Nutzlast einen Google Tag Manager / Analytics und lädt einen Fernlader ein, der eine WebSocket-Verbindung zum Befehls- und Steuerserver öffnet, um einen bestimmten Skimmer für den kompromittierten Speicher herunterzuladen.
Die praktische Folge ist ernst: Der schädliche Code läuft im Zahlungsfluss und kann Kartennummern, CVV, Abrechnungsadressen und andere sensible Daten erfassen, die Kunden in das Kasseformular eingeben. Dies ist nicht nur ein direkter Betrug, sondern ein Risiko von Sanktionen für PCI-Nichteinhaltung und einen namhaften Schaden, der dauern kann.
Pilze Kit hat bereits einen Patch in der Version veröffentlicht 3.15.0.3. Wenn Sie einen WooCommerce Store verwalten, müssen Sie aktualisieren sofort und Priorität das Plugin in die geparched Version. Zusätzlich zum Update ist es angebracht, die Einstellungen zu überprüfen > Checkout > Externe Skripte Einstellung und entfernen Sie jedes unbekannte oder verdächtige Skript. Sansec und andere Reaktionsteams weisen darauf hin, dass Skimmer oft als legitime Tracking-Etiketten getarnt werden, so dass es leicht ist, das Risiko bei Oberflächenaudits zu ignorieren.
Neben der Aktualisierung und Überprüfung der Konfiguration gibt es praktische Maßnahmen, die Auswirkungen reduzieren und die Sanierung unterstützen. Benutzen Sie einen vollständigen Website-Scan mit vertrauenssicheren Sicherheitslösungen oder externen Diensten, um schädliche Belastungen und Hintertüren zu erkennen; überprüfen Sie die Datenbank - zum Beispiel auf der Suche nach wp _ Optionen Werte mit Etiketten < Script > o unbekannte Domains -; inspizieren Sie den Checkout-Ausgang von den Browser- und Netzwerktools, um WebSocket-Verbindungen zu erkennen oder auf verdächtige externe Domänen zu telefonieren; und erstellen Sie administrative Passwörter und API-Schlüssel, wenn Sie Anzeichen von Engagement finden.
Wenn Sie bereits vermuten, dass es Datenexfiltration gab, dokumentieren Sie das temporäre Fenster des möglichen Engagements, halten Sie Protokolle, kontaktieren Sie Ihren Zahlungsanbieter und schätzen Sie den Vorfall gemäß geltender gesetzlicher Verpflichtungen. Um die Wahrscheinlichkeit zukünftiger Intrusionen zu reduzieren, wird empfohlen, die installierten Plugins auf die unbedingt notwendigen zu beschränken, automatische Updates aufrechtzuerhalten, wo es sicher ist, sie anzuwenden, und das Web mit einem WAF und einem kontinuierlichen Monitoring-System zu stärken, das Änderungen in der Dateiintegrität und in der HTML-Ausgabe des Checkouts erkennt.
Dieser Fall passt zu einem breiteren Trend: Neuere Kampagnen haben gezeigt, wie Angreifer dynamische Nutzlast und Remote-Treiber in CMS und Läden einsetzen, um das Verhalten von engagierten Seiten zu ändern, ohne dabei lokale Dateien dauerhaft zu berühren, eine Technik, die Sucuri und andere Firmen in Kontexten wie Kampagnen gegen Joomla und andere Ökosysteme dokumentiert haben. Die Taktik der Verkleidung von Skimmern als Google Tag Manager oder Google Analytics ist wiederkehrend und effektiv für seine Fähigkeit, unbemerkt zu passieren.
Um die technische Analyse und die ursprünglichen Indikationen zu lesen, konsultieren Sie die spezialisierten Sicherheitsquellen; die Forschung von Sansec liefert technische Details über die Operation, und Zwischenberichte wie Sucuri Hilfe, um ähnliche Muster in anderen CMS zu verstehen. Sansec und Sucuri sind gute Ausgangspunkte für operationelle Informationen und Empfehlungen. Wenn Sie allgemeine Anweisungen benötigen, wie WordPress und seine Plugins auf dem neuesten Stand zu halten, ist offizielle WordPress-Dokumentation auch nützlich: WordPress Plugin Management.
Praktische Zusammenfassung: aktualisieren Funnel Builder auf Version 3.15.0.3 oder höher, überprüfen und reinigen Sie die Option Externe Skripte in Checkout, scannen und untersuchen Verpflichtungsindikatoren (ungewöhnliche Skripte, WebSocket Verbindungen zu unbekannten Domänen, verdächtige wp _ Optionen Einträge), brechen empfindliche Anmeldedaten und koordinieren mit Ihrem Zahlungsprozessor, wenn es Exfiltrationssignale. Prävention und Früherkennung sind die beste Verteidigung gegen diese Art von Skimmern, die auf Online-Shops gerichtet sind.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...