WordPress 的 Funnel Builder 外掛程式存在一個嚴重漏洞，攻擊者正利用該漏洞向 WooCommerce 結帳頁面注入惡意 JavaScript 程式碼片段。該漏洞尚未獲得官方標識符，無需身份驗證即可利用。它會影響插件 3.15.0.3 之前的所有版本。

Funnel Builder 是由 FunnelKit 開發的 WordPress WooCommerce Checkout 插件，主要用於自訂結帳頁面，具有一鍵追加銷售、著陸頁等功能，並可優化轉換率。

根據 WordPress.org 的統計數據，Funnel Builder 外掛程式在超過 40,000 個網站上處於活躍狀態。電子商務安全公司Sansec 偵測到了惡意活動，並注意到有效載荷 (analytics-reports[.]com/wss/jquery-lib.js) 偽裝成偽造的 Google Tag Manager/Google Analytics 腳本，該腳本開啟與外部位置 (wss://protect-wss[.]com/ws) 的 WebSocket 連線。

攻擊者可以利用此漏洞，透過未受保護的公開結帳端點修改插件的全域設定。這使得他們可以將任意 JavaScript 程式碼注入到插件的「外部腳本」設定中，從而導致惡意程式碼在每個結帳頁面上執行。

支付卡盜刷器使不法分子能夠進行欺詐性線上購物，而竊取的記錄通常最終會在被稱為盜刷市場的暗網入口網站上單獨或批量出售。供應商建議網站所有者和管理員優先從 WordPress 控制面板更新到最新版本，並檢查“設定”>“結帳”>“外部腳本”，查看攻擊者可能添加的潛在惡意腳本。

資料來源：https://www.bleepingcomputer.com/news/security/funnel-builder-wordpress-plugin-bug-exploited-to-steal-credit-cards/