Une faille critique dans le plugin Funnel Builder pour WordPress est exploitée pour injecter des extraits de code JavaScript malveillants dans les pages de paiement de WooCommerce.
Cette vulnérabilité n’a pas encore obtenu un identifiant officiel. Elle peut être exploitée sans authentification et touche toutes les versions du plugin antérieures à la 3.15.0.3.
Le plugin Funnel Builder est développé par FunnelKit. Il sert principalement à personnaliser les pages de paiement, avec des fonctionnalités comme des ventes supplémentaires en un clic, des pages de destination ou l’optimisation des taux de conversion.
Selon les statistiques de WordPress.org, le plugin Funnel Builder est actif sur plus de 40 000 sites web.
La société de sécurité pour le commerce en ligne Sansec a détecté l’activité malveillante. Elle a observé que le code malveillant (analytics-reports[.]com/wss/jquery-lib.js) est camouflé comme un faux script de Google Tag Manager ou de Google Analytics. Ce script établit une connexion WebSocket vers un lieu externe (wss://protect-wss[.]com/ws).
Un attaquant peut exploiter cette faille pour modifier les paramètres globaux du plugin via un point d’accès public et non protégé lié au paiement. Cela permet d’injecter du JavaScript arbitraire dans le paramètre « Scripts externes » du plugin, ce qui exécute un code malveillant sur chaque page de paiement.
Selon Sansec, le serveur contrôlé par l’attaquant délivre un dispositif de siphonage de cartes de paiement personnalisé qui vole les informations suivantes :
- Les numéros de carte de crédit
- Les codes CVV
- Les adresses de facturation
- D’autres données clients
Les siphonneurs de cartes de paiement permettent aux acteurs malveillants de réaliser des achats en ligne frauduleux. Les données volées sont souvent vendues individuellement ou en lots sur des portails du dark web, appelés marchés de cartes.
FunnelKit a corrigé cette vulnérabilité dans la version 3.15.0.3 de Funnel Builder, publiée hier.
Un avis de sécurité du développeur, consulté par Sansec, confirme l’activité malveillante et indique : « nous avons identifié un problème qui permettait à des acteurs malveillants d’injecter des scripts ».
Le développeur recommande aux propriétaires et administrateurs de sites web de donner la priorité à la mise à jour vers la dernière version via le tableau de bord WordPress. Il conseille aussi de vérifier les paramètres > Paiement > Scripts externes pour détecter les scripts potentiellement ajoutés par l’attaquant.