Funnel Builder Flaw Under Active Exploitation Enables WooCommerce Checkout Skimming

Vol de données bancaires via le plugin Funnel Builder pour WooCommerce

Une faille critique dans le plugin WordPress Funnel Builder (utilisé par plus de 40 000 boutiques) fait l’objet d’une exploitation active. Cette vulnérabilité permet à des attaquants non authentifiés d’injecter du code JavaScript malveillant dans les pages de paiement pour dérober des informations de carte bancaire (numéros, cryptogrammes, adresses de facturation).

Points clés :

• Méthode d’attaque : Les attaquants exploitent un point de terminaison public non protégé pour modifier les paramètres globaux du plugin. Ils injectent un script malveillant se faisant passer pour un tag Google Tag Manager (GTM).
• Exfiltration : Le script injecté établit une connexion WebSocket vers un serveur distant (C2) pour charger un “skimmer” personnalisé capable de capturer les données saisies par les clients lors du paiement.
• Discrétion : L’usage de scripts imitant des outils de suivi légitimes (Google Analytics/Tag Manager) permet de contourner la vigilance des administrateurs de sites.

Vulnérabilité :

• Identifiant : Aucun CVE assigné à ce jour.
• Versions affectées : Toutes les versions antérieures à 3.15.0.3.
• Nature de la faille : Défaut de contrôle d’accès sur une méthode interne, permettant une injection arbitraire de scripts via les paramètres du plugin.

Recommandations :

• Mise à jour immédiate : Passer impérativement à la version 3.15.0.3 ou supérieure du plugin Funnel Builder.
• Audit des paramètres : Vérifier dans l’interface du plugin, sous Settings > Checkout > External Scripts, qu’aucun script inconnu ou suspect n’a été ajouté, et supprimer toute entrée douteuse.

Source