Več kot polovica uporabnikov priljubljenega vtičnika Funnel Builder še vedno uporablja ranljivo različico, ki napadalcem omogoča krajo številk kreditnih kartic.
Priljubljen vtičnik za WordPress, Funnel Builder, zasnovan za prilagajanje strani za plačilo v trgovinah WooCommerce, vsebuje kritično varnostno ranljivost. Po mnenju varnostnih strokovnjakov jo napadalci izkoriščajo za krajo podatkov o kreditnih karticah neposredno iz brskalnikov strank.
Ranljivost z oznako CVE-2026-47100 in oceno resnosti 8,7 od 10 je 14. maja 2026 odkrila ekipa za kibernetsko varnost podjetja za e-trgovino Sansec. Čeprav je bil popravek v različici 3.15.0.3 izdan dan prej, statistika kaže, da več kot polovica aktivnih namestitev še vedno uporablja to ranljivo različico.
Mehanizem napada temelji na napaki pri preverjanju pristnosti. Tehnična vstopna točka vtičnika (končna točka AJAX) sprejema zahteve brez preverjanja identitete pošiljatelja. Z izkoriščanjem te ranljivosti lahko napadalec vstavi zlonamerno kodo v globalne nastavitve vtičnika, v polje, namenjeno zunanjim skriptom, kot je Google Analytics.
Ta zlonamerna koda se samodejno naloži na vsako stran za plačilo v brskalniku vsakega kupca. Da bi se izognila odkrivanju, se prikrije kot legitimna skripta Google Tag Manager. V resnici dekodira skriti naslov prek formata base64, da naloži zunanjo datoteko , ki nato odpre povezavo WebSocket – komunikacijski kanal v realnem času med brskalnikom in strežnikom napadalca. Ta kanal prenaša podatke, vnesene v plačilni obrazec: številko kartice, kodo CVV in naslov za izstavitev računa.
Ta vrsta napada, znana kot Magecart , je edinstvena po tem, da zlonamerna koda ne spreminja nobenih datotek na spletnem mestu. Nahaja se v možnosti znotraj baze podatkov WordPress, zaradi česar je nevidna za standardne pregledovalnike datotek.
Stranke nimajo načina, da bi odkrile ogroženo spletno mesto, preden vnesejo svoje podatke. V primeru sumljive transakcije Zakon o plačilnih transakcijah (člen 133-24, ki prenaša evropsko direktivo DSP2) določa 13-mesečno obdobje za prijavo goljufive operacije banki in uveljavitev pravice do povračila. Tega obdobja ne smemo zamenjevati z osemtedenskim obdobjem, ki velja izključno za izpodbijanje zneska odobrenega plačila.
Mediji
Komentarji 0
Trenutno ni komentarja na na ta članek ...
...
OPOMBA: Newsexchange stran ne prevzema nobene odgovornosti glede komentatorjev in vsebine ki jo vpisujejo. V skrajnem primeru se komentarji brišejo ali pa se izklopi možnost komentiranja ...
Mediji
Komentarji 0
Slike:
(0%)
