Kritična ranljivost v WordPress vtičniku Funnel Builder omogoča krajo kreditnih kartic

Varnostni raziskovalci opozarjajo na aktivno izkoriščanje kritične ranljivosti v priljubljenem WordPress vtičniku Funnel Builder, ki napadalcem omogoča krajo podatkov kreditnih kartic z WooCommerce spletnih trgovin. Ranljivost se aktivno zlorablja za vbrizgavanje zlonamerne JavaScript kode na strani za plačilo.

Funnel Builder je vtičnik, ki ga uporablja več kot 50.000 WordPress spletnih mest za ustvarjanje prodajnih lijakov in optimizacijo konverzij. Odkrita varnostna pomanjkljivost napadalcem omogoča nepooblaščen dostop do administracijskega vmesnika in injiciranje poljubne kode.

Zlonamerna JavaScript koda, ki jo napadalci vnašajo, deluje kot t.i. skimmer ali “sniffing” skripta. Ta v realnem času zajema občutljive podatke, ki jih stranke vnašajo na strani za plačilo – vključno s številkami kreditnih kartic, CVV kodami, datumi poteka in osebnimi podatki. Ukradeni podatki se nato pošiljajo na oddaljene strežnike pod nadzorom napadalcev.

Največja nevarnost take ranljivosti je v tem, da je za uporabnike spletnih trgovin popolnoma nevidna. Spletna stran deluje normalno, plačilo se izvede, naročilo se obdela, medtem ko se v ozadju vsi vneseni podatki kopirajo napadalcem.

Razvijalci vtičnika so že izdali varnostno posodobitev, ki odpravlja odkrito ranljivost. Vsem skrbnikom WordPress spletnih mest, ki uporabljajo Funnel Builder, svetujemo takojšnjo posodobitev na najnovejšo različico. Priporočljivo je tudi pregledati vse nedavne spremembe na straneh za plačilo in preveriti morebitne neznane JavaScript vključitve.

Strokovnjaki za kibernetsko varnost priporočajo dodatne varnostne ukrepe: implementacijo celovitostnega nadzora datotek (FIM), redno spremljanje sumljivih aktivnosti v administraciji ter uporabo varnostnih vtičnikov, ki zaznavajo nepooblaščene spremembe. Lastniki spletnih trgovin bi morali tudi obvestiti stranke, ki so opravile nakup v času, ko je bila ranljivost lahko izkoriščena.

Ta incident ponovno poudarja pomen rednega posodabljanja WordPress vtičnikov in implementacije večplastne varnostne strategije za zaščito občutljivih podatkov strank v e-trgovini.


Vir: https://www.bleepingcomputer.com/news/security/funnel-builder-wordpress-plugin-bug-exploited-to-steal-credit-cards/
Originalna objava: 2026-05-15
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply