Un bug critique dans le plugin Entonnoir Builder (FunnelKit) pour WordPress est exploité dans des environnements réels pour injecter du JavaScript malveillant dans les pages de paiement de WooCommerce et voler des données de carte et de facturation, selon l'analyse publiée cette semaine par la société de sécurité Sansec. Le défaut affecte toutes les versions avant le 3.15.0.3 et son fonctionnement permet aux acteurs non authentifiés d'ajouter du code arbitraire qui fonctionne sur chaque commande, ce qui fait de tout magasin vulnérable une cible directe pour les skimmers payés.
La technique décrite par les chercheurs profite d'un paramètre public orienté vers la caisse qui, dans les anciennes versions, n'a pas vérifié les permis ni limité les méthodes internes pouvant être invoquées. Par une requête non authentifiée, un attaquant peut forcer l'écriture de données contrôlée de l'attaquant dans les paramètres globaux du plugin et donc insérer des balises de script dans l'option que l'entonnoir Builder utilise pour "Scripts extérieurs". Dans les incidents observés la charge utile passe par un Google Tag Manager / Analytics et finit par charger un chargeur à distance qui ouvre une connexion WebSocket au serveur de commande et de contrôle pour télécharger un écumeur spécifique pour le magasin compromis.
La conséquence pratique est grave: le code malveillant fonctionne dans le flux de paiement et peut capturer les numéros de carte, CVV, adresses de facturation et autres données sensibles que les clients entrent dans le formulaire de paiement. Il s'agit non seulement d'une fraude directe, mais aussi d'un risque de sanctions en cas de non-respect de l'IPC et d'un dommage à la réputation qui peut durer.
Entonnoir Kit a déjà publié un patch dans la version 3.15.0.3. Si vous gérez un magasin WooCommerce, vous devez mettre à jour immédiate et prioritaire ce plugin vers la version parachevée. En plus de la mise à jour, il convient de vérifier les paramètres > Checkout > Scripts externes définir et supprimer tout script inconnu ou suspect. Sansec et d'autres équipes d'intervention soulignent que les skimmers sont souvent camouflés comme des étiquettes de suivi légitimes, il est donc facile d'ignorer les risques lors des audits de surface.
Outre la mise à jour et l'examen de la configuration, il existe des mesures pratiques qui réduisent l'impact et aident à l'assainissement. Effectuer une analyse complète du site avec des solutions de sécurité de confiance ou des services externes pour détecter les charges malveillantes et les portes arrière; vérifier la base de données - par exemple, à la recherche de valeurs wp _ options contenant des étiquettes < script > o domaines inconnus - Inspecter la sortie de caisse à partir du navigateur et des outils réseau pour détecter les connexions WebSocket ou les appels vers des domaines externes suspects; et rétablir les mots de passe administratifs et les clés API si vous trouvez des signes d'engagement.
Si vous soupçonnez déjà qu'il y a eu infiltration de données, documentez la fenêtre temporaire de l'engagement possible, conservez des journaux, contactez votre fournisseur de paiement et indiquez la valeur de l'incident conformément aux obligations légales applicables. Pour réduire la probabilité d'intrusions futures, il est recommandé de limiter les plugins installés à ceux strictement nécessaires, de maintenir des mises à jour automatiques où il est sûr de les appliquer, et de renforcer le web avec un WAF et un système de surveillance continue qui détecte les changements dans l'intégrité des fichiers et dans la sortie HTML de la caisse.
Ce cas s'inscrit dans une tendance plus large : des campagnes récentes ont montré comment les attaquants insèrent une charge utile dynamique et des pilotes distants dans les CMS et les magasins pour changer le comportement des sites engagés sans toucher de façon permanente les fichiers locaux, une technique que Sucuri et d'autres entreprises ont documenté dans des contextes tels que les campagnes contre Joomla et d'autres écosystèmes. La tactique de déguiser les skimmers comme Google Tag Manager ou Google Analytics est récurrente et efficace pour sa capacité à passer inaperçu.
Pour lire l'analyse technique et les indications originales, consultez les sources de sécurité spécialisées; la recherche de Sansec fournit des détails techniques sur l'opération, et les rapports d'intervention d'incidents tels que l'aide de Sucuri pour comprendre des modèles similaires dans d'autres CMS. Sansec et Sucuri sont de bons points de départ pour l'information opérationnelle et les recommandations. Si vous avez besoin d'instructions générales sur la façon de garder WordPress et ses plugins à jour, la documentation officielle WordPress est également utile: Gestion des plugins WordPress.
Résumé pratique: Mettre à jour Entonnoir Builder vers la version 3.15.0.3 ou supérieure, examiner et nettoyer l'option des scripts externes dans Checkout, scanner et étudier les indicateurs d'engagement ( scripts inhabituels, connexions WebSocket à des domaines inconnus, entrées d'options WP _ suspectes), casser les identifiants sensibles et coordonner avec votre processeur de paiement s'il y a des signaux d'exfiltration. La prévention et la détection précoce sont la meilleure défense contre ce type de skimmers dirigés vers les magasins en ligne.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...