Pesquisadores de segurança descobriram a exploração ativa de uma vulnerabilidade crítica que afeta o plugin **Funnel Builder** para WordPress. Essa falha permite que atacantes não autenticados injetem trechos de JavaScript malicioso nas páginas de checkout do **WooCommerce**, potencialmente comprometendo dados sensíveis de clientes. ### Detalhes da Vulnerabilidade A vulnerabilidade, que atualmente não possui um identificador **CVE** oficial, afeta todas as versões do plugin anteriores à 3.15.0.3. O **Funnel Builder**, desenvolvido pela **FunnelKit**, é um plugin popular usado para personalizar páginas de checkout com recursos como upsells de um clique e landing pages, visando otimizar as taxas de conversão. O plugin está ativo em mais de 40.000 sites, de acordo com estatísticas do WordPress.org. ### Vetor de Ataque A **Sansec** descobriu a atividade maliciosa, observando que o payload injetado (analytics-reports[.]com/wss/jquery-lib.js) é disfarçado como um script falso de **Google Tag Manager** / **Google Analytics**. Este script estabelece uma conexão WebSocket com um local externo (wss://protect-wss[.]com/ws). Atacantes exploram a vulnerabilidade modificando as configurações globais do plugin através de um endpoint de checkout desprotegido e publicamente exposto. Isso permite que eles injetem código JavaScript arbitrário na configuração de "Scripts Externos" do plugin, levando à execução de código malicioso em todas as páginas de checkout. ### Roubo de Dados De acordo com a **Sansec**, o servidor controlado pelo atacante entrega um skimmer de cartão de pagamento personalizado projetado para roubar: * Números de cartão de crédito * CVVs * Endereços de faturamento * Outras informações do cliente Detalhes de pagamento roubados podem ser usados para compras online fraudulentas ou vendidos em mercados de carding na dark web. ### Remediação A **FunnelKit** corrigiu a vulnerabilidade na versão 3.15.0.3 do **Funnel Builder**, lançada recentemente. Um aviso de segurança do fornecedor confirma a atividade maliciosa, afirmando que eles "identificaram um problema que permitiu que maus atores injetassem scripts". Proprietários e administradores de sites são fortemente aconselhados a priorizar a atualização para a versão mais recente do plugin através do painel do WordPress. Além disso, é crucial revisar `Configurações > Checkout > Scripts Externos` em busca de quaisquer scripts suspeitos ou não autorizados que possam ter sido adicionados por atacantes.  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Ferramentas de pentest automatizadas entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia abrange as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)