WordPress プラグイン Funnel Builder (FunnelKit) の未認証脆弱性が攻撃者に悪用され、WooCommerce 決済ページに JavaScript スキマーが注入されている事例を Sansec が観測しました。Funnel Builder は 4 万店超の EC サイトで稼働しており、影響範囲は広範に及びます。
主なポイント
- 影響範囲は Funnel Builder 3.15.0.3 未満の全バージョン。未認証の攻撃者が「External Scripts」設定に任意 JavaScript を注入でき、店舗の解析タグに紛れて検出を回避
- 観測された攻撃は偽 Google Tag Manager ローダーを装い、外部ドメインから WebSocket 経由で C2 と通信、ストア固有にカスタマイズされたスキマーを取り込む
- 最終目的はカード番号・CVV・請求先住所など決済情報の窃取。CVE 番号は未付与だが、Sansec は実際の悪用を観測済み
- FunnelKit は修正版 3.15.0.3 をリリース済み。サイト管理者は即時アップデートに加え「Settings > Checkout > External Scripts」を点検し、見覚えの無いタグを削除する必要がある
- 直近の WordPress エコシステムは Avada Builder など複数プラグインで類似の認証回避が連続しており、サプライチェーンとしての WP マーケットプレースのリスクが改めて顕在化
出典: Funnel Builder Flaw Under Active Exploitation Enables WooCommerce Checkout Skimming