Уязвимость в FunnelKit поставила под риск WooCommerce-магазины

Владельцам интернет-магазинов на WordPress стоит проверить обновления и настройки плагинов.

По данным SecurityLab со ссылкой на исследователей Sansec, в плагине Funnel Builder от FunnelKit нашли критическую уязвимость, которая могла затронуть более 40 тысяч магазинов на WooCommerce.

Проблема касается версий Funnel Builder ниже 3.15.0.3.

Через уязвимость злоумышленники могли без авторизации внедрять вредоносный JavaScript-код на страницы оформления заказа. Это особенно опасно именно для онлайн-магазинов: страница оплаты — место, где покупатель вводит номер карты, CVV-код, адрес и другие персональные данные.

По описанию источника, атака была сделана довольно хитро. Вредоносные скрипты маскировались под инструменты Google Tag Manager. Для владельца сайта или проверяющего такой код может выглядеть как обычный маркетинговый или аналитический тег, поэтому его легко не заметить среди легитимных подключений.

После заражения магазина скрипт загружался на страницах оплаты и мог перехватывать платёжные данные покупателей. В расследовании также упоминаются домены analytics-reports[.]com и protect-wss[.]com: через них вредоносный код получал дополнительные компоненты и, по данным Sansec, мог подстраиваться под конкретный сайт.

Разработчики FunnelKit уже выпустили исправление. В новой версии добавили проверку прав доступа и ограничили список внутренних методов, которые можно вызывать через интерфейс оформления заказа. Пользователям рекомендуют обновить плагин через панель WordPress и отдельно проверить раздел Settings → Checkout → External Scripts.

Эта история важна не только для владельцев WooCommerce-магазинов. Она показывает типичную проблему WordPress-экосистемы: удобные плагины сильно ускоряют разработку, но каждая уязвимость в популярном расширении сразу становится массовым риском. Особенно когда речь идёт о платёжных страницах и данных покупателей.

Стоит учитывать, что источник не раскрывает все технические детали атаки и не приводит полный список пострадавших сайтов. Поэтому владельцам магазинов лучше не ждать подтверждения «мы точно не затронуты», а выполнить базовую проверку: обновить Funnel Builder, посмотреть внешние скрипты, просканировать сайт на вредоносный код и проверить, нет ли неизвестных изменений в настройках.

Для небольших магазинов такая проблема особенно неприятна: владелец может не иметь отдельного специалиста по безопасности. А покупатели при этом доверяют сайту свои платёжные данные.

Главный вывод здесь простой: обновления плагинов для интернет-магазина — это не формальность, а часть безопасности. Особенно если плагин связан с оформлением заказа, оплатой или маркетинговыми скриптами. Хорошо, что исправление уже выпущено, но одной установки новой версии может быть недостаточно, если сайт уже успели заразить. После таких новостей лучше потратить время на ручную проверку подключённых скриптов и общий аудит сайта.

Источник: SecurityLab