Un bug critique dans le plugin Entonnoir Builder (FunnelKit) pour WordPress, utilisé pour personnaliser les pages de paiement WooCommerce, est exploité librement pour insérer des fragments malveillants JavaScript dans la caisse et ainsi voler les données de paiement des clients. La vulnérabilité permet, sans authentification, de modifier la configuration globale du plugin à l'aide d'un point de départ exposé publiquement, qui transforme n'importe quel magasin qui utilise des versions avant 3.15.0.3 en une cible pour les skimmers de cartes.
Les mesures publiques indiquent que l'entonnoir Builder est actif dans des dizaines de milliers de sites, donc le risque est grand : un attaquant peut injecter du code dans le réglage "External Scripts" du plugin et obtenir un script externe chargé sur toutes les pages de paiement. Selon l'analyse technique publiée par Sansec, les attaquants distribuent un fichier qui passe par Google Tag Manager / Google Analytics et ouvre une connexion WebSocket pour télécharger et exécuter un skimmer personnalisé qui recueille les numéros de carte, CVV, adresses de facturation et autres données de l'acheteur. Pour les détails techniques et les échantillons de l'analyse, voir le rapport original de Sansec à https: / / sansec.io / recherche / entonnoirkit-woocommerce-violabilité-exploité.
Si vous utilisez un magasin WooCommerce, vous devez supposer qu'il a pu être compromis si vous avez utilisé le Constructeur de canaux avant le 3.15.1.3.. La première étape immédiate est de mettre à jour le plugin du panneau WordPress à la version corrigée (3.15.0.3 ou plus). La page officielle du plugin dans le dépôt WordPress contient des informations de version et vous permet de vérifier les installations actives: https: / / wordpress.org / plugins / funnel-builder /. Ne reportez pas cette mise à jour : les exploits automatisés sont souvent diffusés rapidement dès que la vulnérabilité est rendue publique.
Mettre à jour seul n'est pas suffisant si l'attaquant a déjà eu le temps d'insérer des scripts malveillants. Vérifiez les paramètres > Commander > Scripts externes du plugin pour les entrées non autorisées et supprimer toute URL ou code étranger. En outre, il inspecte les fichiers de base de données et les options pour les changements récents dans les paramètres de plugin et les crochets de caisse; les skimmers laissent souvent des traces dans les entrées de réglage ou dans les options personnalisées.
Vous devez également prendre des risques pour les données des clients : informer les agents de conformité (p. ex., le fournisseur de passerelle de paiement et l'équipement de conformité PCI, s'il y a lieu), préparer une déclaration pour les clients touchés si l'exfiltration est confirmée et envisager de forcer la rotation des clés ou des références liées au paiement. Il surveille les transactions et les modèles de fraude et, si vous détectez des frais frauduleux, coordonne la réponse avec la passerelle et les émetteurs de cartes.
Sur le plan technique, il active les enregistrements et l'analyse du trafic sortant pour identifier les applications vers des domaines suspects (par exemple des domaines semblables aux rapports analytiques [.] com ou des connexions WebSocket à des hôtes externes tels que protect-wss [.] com mentionnés dans les rapports). Il implémente des règles temporelles dans la WAF pour bloquer la charge de scripts à partir de sources externes non autorisées et applique des contrôles d'intégrité dans les fichiers et la base de données pour détecter les récidives. Si vous n'avez pas la capacité interne, engagez une équipe d'intervention en cas d'incident ayant une expérience en commerce électronique.
Cet incident est un rappel que les plugins qui manipulent le flux de paiement sont un vecteur critique: la sécurité d'un magasin dépend non seulement du noyau WordPress mais de chaque extension qui a des permissions sur la caisse. Conservez un inventaire de plugins, appliquez des mises à jour rapidement, limitez les privilèges administratifs et les configurations auditives qui permettent l'exécution de scripts externes. Pour connaître les meilleures pratiques en matière de sécurité en matière de paiements et de conformité, consultez les lignes directrices du SSD PCI à l'adresse suivante : https: / / www.pcisecuritystandards.org / et durcissant les ressources des plateformes WordPress et WooCommerce publiées par des fournisseurs de sécurité spécialisés.
Si vous avez besoin d'aide pratique pour vérifier une installation touchée ou pour concevoir un plan de médiation et de communication, envisagez de communiquer avec les spécialistes de l'intervention en cas d'incident et les fournisseurs de nettoyage des skimmers qui offrent une analyse médico-légale du trafic et une récupération sécuritaire des environnements de commerce électronique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...