Kriittistä Funnel Builder WordPress -lisäosan haavoittuvuutta hyödynnetään aktiivisesti JavaScript-haittakoodin injektointiin WooCommerce-kassasivuille luottokorttitietojen varastamiseksi.
Funnel Builder -nimisen WordPress-lisäosan kriittistä haavoittuvuutta hyödynnetään parhaillaan aktiivisesti hyökkäyksissä, jotka tähtäävät luottokorttitietojen varastamiseen. Haavoittuvuus mahdollistaa haitallisen JavaScript-koodin injektoinnin WooCommerce-kassasivuille, jolloin asiakkaiden maksukorttitiedot voidaan siepata maksutapahtuman aikana.
Hyökkäykset kohdistuvat erityisesti verkkokauppoihin, jotka käyttävät Funnel Builder -lisäosaa myyntisuppilo-toiminnallisuuksiensa toteuttamiseen. Injektoitu haitallinen koodi aktivoituu kassasivulla ja lähettää syötetyt luottokorttitiedot hyökkääjien hallinnoimille palvelimille. Tämä ns. Magecart-tyylinen hyökkäys on erityisen vaarallinen, koska se on käyttäjille lähes huomaamaton.
Haavoittuvuus johtuu puutteellisesta syötteiden validoinnista ja sanitoinnista, mikä mahdollistaa Cross-Site Scripting (XSS) -hyökkäykset. Lisäosan kehittäjät ovat jo julkaisseet korjaavan päivityksen, mutta monet WordPress-sivustot saattavat edelleen olla haavoittuvia, jos päivitystä ei ole asennettu.
IT-ammattilaiset suosittelevat tarkistamaan välittömästi kaikki WordPress-asiakassivustot, joissa Funnel Builder -lisäosa on käytössä. Päivitys tulisi asentaa kiireellisesti, ja kassasivujen toiminnallisuus testata huolellisesti päivityksen jälkeen. Lisäksi on suositeltavaa seurata verkkokauppojen lokeja epäilyttävän toiminnan varalta.
Tärkeimmät pointit
- Funnel Builder WordPress-lisäosan kriittinen XSS-haavoittuvuus mahdollistaa haittakoodin injektion
- Hyökkäykset kohdistuvat WooCommerce-kassasivuille luottokorttitietojen sieppaamiseksi
- Magecart-tyylinen JavaScript-pohjainen hyökkäys on käyttäjille huomaamaton
- Kehittäjät julkaisseet korjaavan päivityksen – asennus suositeltava välittömästi
- Puutteellinen syötteiden validointi ja sanitointi juurisyynä haavoittuvuudelle
- WordPress-sivustojen tarkistus ja lokien seuranta suositeltavaa
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 15.5.2026
