Sicherheitsforscher haben die aktive Ausnutzung einer kritischen Schwachstelle im **Funnel Builder** Plugin für WordPress aufgedeckt. Diese Lücke ermöglicht es nicht authentifizierten Angreifern, bösartige JavaScript-Snippets in **WooCommerce**-Checkout-Seiten einzuschleusen und potenziell sensible Kundendaten zu kompromittieren. ### Details zur Schwachstelle Die Schwachstelle, für die derzeit noch keine offizielle **CVE**-Kennung vorliegt, betrifft alle Versionen des Plugins vor 3.15.0.3. **Funnel Builder**, entwickelt von **FunnelKit**, ist ein beliebtes Plugin, das zur Anpassung von Checkout-Seiten mit Funktionen wie One-Click-Upsells und Landing Pages verwendet wird, um die Konversionsraten zu optimieren. Laut WordPress.org-Statistiken ist das Plugin auf über 40.000 Websites aktiv. ### Angriffsvektor **Sansec** entdeckte die bösartige Aktivität und stellte fest, dass die eingeschleuste **payload** (analytics-reports[.]com/wss/jquery-lib.js) als gefälschtes **Google Tag Manager**/ **Google Analytics**-Skript getarnt ist. Dieses Skript stellt eine WebSocket-Verbindung zu einem externen Speicherort her (wss://protect-wss[.]com/ws). Angreifer nutzen die Schwachstelle aus, indem sie die globalen Einstellungen des Plugins über einen ungeschützten, öffentlich zugänglichen Checkout-Endpunkt ändern. Dies ermöglicht es ihnen, beliebigen JavaScript-Code in die Einstellung „External Scripts“ des Plugins einzufügen, was zur Ausführung von bösartigem Code auf jeder Checkout-Seite führt. ### Datendiebstahl Laut **Sansec** liefert der vom Angreifer kontrollierte Server einen angepassten Payment Card Skimmer, der darauf ausgelegt ist, Folgendes zu stehlen: * Kreditkartennummern * CVVs * Rechnungsadressen * Andere Kundeninformationen Gestohlene Zahlungskartendaten können für betrügerische Online-Einkäufe verwendet oder auf Dark-Web-Carding-Märkten verkauft werden. ### Behebung **FunnelKit** hat die Schwachstelle in Version 3.15.0.3 von **Funnel Builder** behoben, die kürzlich veröffentlicht wurde. Ein Sicherheitsratgeber des Anbieters bestätigt die bösartige Aktivität und gibt an, dass sie „ein Problem identifiziert haben, das es böswilligen Akteuren ermöglichte, Skripte einzuschleusen“. Website-Besitzer und Administratoren werden dringend gebeten, die Aktualisierung auf die neueste Version des Plugins über das WordPress-Dashboard zu priorisieren. Darüber hinaus ist es unerlässlich, unter `Settings > Checkout > External Scripts` nach verdächtigen oder bösartigen Skripten zu suchen, die möglicherweise von Angreifern hinzugefügt wurden.  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Bereiche, die Sie tatsächlich validieren müssen. [Download Now](https://hubs.li/Q048zztN0)