Investigadores de seguridad han descubierto la explotación activa de una vulnerabilidad crítica que afecta al plugin **Funnel Builder** para WordPress. Esta falla permite a atacantes no autenticados inyectar fragmentos de JavaScript malicioso en las páginas de pago de **WooCommerce**, comprometiendo potencialmente datos sensibles de los clientes. ### Detalles de la Vulnerabilidad La vulnerabilidad, que actualmente carece de un identificador **CVE** oficial, afecta a todas las versiones del plugin anteriores a la 3.15.0.3. **Funnel Builder**, desarrollado por **FunnelKit**, es un plugin popular utilizado para personalizar páginas de pago con funciones como ventas adicionales con un clic y páginas de destino, con el objetivo de optimizar las tasas de conversión. El plugin está activo en más de 40,000 sitios web, según estadísticas de WordPress.org. ### Vector de Ataque **Sansec** descubrió la actividad maliciosa, señalando que el payload inyectado (analytics-reports[.]com/wss/jquery-lib.js) está disfrazado como un script falso de **Google Tag Manager** / **Google Analytics**. Este script establece una conexión WebSocket a una ubicación externa (wss://protect-wss[.]com/ws). Los atacantes explotan la vulnerabilidad modificando la configuración global del plugin a través de un endpoint de pago desprotegido y expuesto públicamente. Esto les permite inyectar código JavaScript arbitrario en la configuración de "Scripts Externos" del plugin, lo que lleva a la ejecución de código malicioso en cada página de pago. ### Robo de Datos Según **Sansec**, el servidor controlado por el atacante entrega un skimmer de tarjetas de pago personalizado diseñado para robar: * Números de tarjetas de crédito * CVVs * Direcciones de facturación * Otra información del cliente Los detalles de pago robados pueden usarse para compras fraudulentas en línea o venderse en mercados de tarjetas en la dark web. ### Remediación **FunnelKit** abordó la vulnerabilidad en la versión 3.15.0.3 de **Funnel Builder**, lanzada recientemente. Un aviso de seguridad del proveedor confirma la actividad maliciosa, declarando que "identificaron un problema que permitió a los malos actores inyectar scripts". Se recomienda encarecidamente a los propietarios y administradores de sitios web que prioricen la actualización a la última versión del plugin a través del panel de WordPress. Además, es crucial revisar `Configuración > Pago > Scripts Externos` en busca de scripts sospechosos o no autorizados que puedan haber sido agregados por los atacantes.  ## [La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Usted Necesita Seis.](https://hubs.li/Q048zztN0) Las herramientas automatizadas de pruebas de penetración brindan valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar Ahora](https://hubs.li/Q048zztN0)