Des chercheurs en sécurité ont découvert l'exploitation active d'une vulnérabilité critique affectant le plugin **Funnel Builder** pour WordPress. Cette faille permet à des attaquants non authentifiés d'injecter des extraits de JavaScript malveillants sur les pages de paiement **WooCommerce**, compromettant potentiellement des données clients sensibles. ### Détails de la vulnérabilité La vulnérabilité, qui ne dispose actuellement pas d'identifiant **CVE** officiel, affecte toutes les versions du plugin antérieures à la 3.15.0.3. **Funnel Builder**, développé par **FunnelKit**, est un plugin populaire utilisé pour personnaliser les pages de paiement avec des fonctionnalités telles que les upsells en un clic et les landing pages, dans le but d'optimiser les taux de conversion. Le plugin est actif sur plus de 40 000 sites web, selon les statistiques de WordPress.org. ### Vecteur d'attaque **Sansec** a découvert l'activité malveillante, notant que le payload injecté (analytics-reports[.]com/wss/jquery-lib.js) est déguisé en faux script **Google Tag Manager** / **Google Analytics**. Ce script établit une connexion WebSocket vers un emplacement externe (wss://protect-wss[.]com/ws). Les attaquants exploitent la vulnérabilité en modifiant les paramètres globaux du plugin via un point d'accès de paiement non protégé et publiquement exposé. Cela leur permet d'injecter du code JavaScript arbitraire dans le paramètre "External Scripts" du plugin, conduisant à l'exécution de code malveillant sur chaque page de paiement. ### Vol de données Selon **Sansec**, le serveur contrôlé par l'attaquant délivre un skimmer de carte de paiement personnalisé conçu pour voler : * Numéros de carte de crédit * CVV * Adresses de facturation * Autres informations client Les détails de carte de paiement volés peuvent être utilisés pour des achats en ligne frauduleux ou vendus sur les marchés du dark web spécialisés dans les cartes de crédit. ### Remédiation **FunnelKit** a corrigé la vulnérabilité dans la version 3.15.0.3 de **Funnel Builder**, publiée récemment. Un avis de sécurité du fournisseur confirme l'activité malveillante, indiquant qu'ils "ont identifié un problème qui a permis à de mauvais acteurs d'injecter des scripts". Il est fortement conseillé aux propriétaires et administrateurs de sites web de prioriser la mise à jour vers la dernière version du plugin via le tableau de bord WordPress. De plus, il est crucial de vérifier dans `Paramètres > Paiement > Scripts externes` tout script suspect ou non autorisé qui aurait pu être ajouté par des attaquants.  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)