Kreditkarten-Klau: WordPress Plugin gefährdet 40.000 Shops
Kritische Lücke im Funnel Builder Plugin ermöglicht Angreifer den Skript-Einschub.
Ein kritischer Fehler im beliebten Funnel Builder Plugin für WordPress setzt über 40.000 Websites einem Risiko aus und ermöglicht Angreifern den Diebstahl sensibler Kreditkartendaten. Diese Schwachstelle betrifft alle Versionen des Plugins vor 3.15.0.3 und wird von bösartigen Akteuren aktiv ausgenutzt, die schädliches JavaScript in WooCommerce-Checkout-Seiten einfügen.
Die Schwachstelle
Das Sicherheitsunternehmen Sansec hat dieses alarmierende Problem aufgedeckt. Der Exploit erlaubt Angreifern, die globalen Einstellungen des Plugins über einen ungesicherten, öffentlich zugänglichen Endpunkt zu ändern. Dadurch können beliebige JavaScripts in die 'External Scripts'-Einstellungen eingefügt werden, was zur Ausführung von schädlichem Code auf den Checkout-Seiten führt.
Der schädliche Code tarnt sich als legitimes Google Tag Manager oder Google Analytics Skript, das dann eine WebSocket-Verbindung zu einem bösartigen Server öffnet. Dieser Server verteilt einen maßgeschneiderten Payment-Card-Skimmer, der kritische Daten wie Kreditkartennummern, CVVs, Rechnungsadressen und weitere Kundeninformationen stiehlt.
Hardware-Keys und Passwort-Manager, die Security-Profis nutzen.
Reaktion von FunnelKit
FunnelKit, der Entwickler des Funnel Builder Plugins, hat schnell reagiert und eine aktualisierte Version 3.15.0.3 veröffentlicht, um diese Sicherheitslücke zu schließen. Das Unternehmen hat die bösartige Aktivität bestätigt und fordert die Nutzer auf, ihre Plugins umgehend über das WordPress-Dashboard zu aktualisieren. Administratoren wird zudem geraten, ihre Einstellungen auf unautorisierte Skripte zu überprüfen, die von Angreifern hinzugefügt worden sein könnten.
Dieser Vorfall zeigt, wie wichtig regelmäßige Updates und die sorgfältige Überwachung von Site-Plugins sind, besonders von solchen, die Finanztransaktionen abwickeln.
Kontext
Der europäische E-Commerce-Markt ist besonders anfällig für solche Bedrohungen, da er stark auf WordPress-Plugins wie den Funnel Builder setzt, um die Konversionsraten zu steigern. Dieser Vorfall erinnert an frühere Schwachstellen in E-Commerce-Plattformen, die zu erheblichen finanziellen Verlusten und Datenlecks geführt haben. Mit der DSGVO stehen europäische Unternehmen unter zusätzlichem Druck, strenge Datenschutzstandards einzuhalten.
Was das für dich bedeutet
Wenn Du ein Website-Betreiber oder Administrator bist, der den Funnel Builder nutzt, ist es unerlässlich, sofort die neueste Version zu installieren. Dieses Update behebt nicht nur die Schwachstelle, sondern hilft auch, potenziellen finanziellen und reputativen Schaden zu verhindern. Überprüfe unbedingt Deine Site-Einstellungen auf verdächtige Skripte, um weitere Risiken zu minimieren.
Was noch unklar ist
Obwohl FunnelKit die Schwachstelle behoben hat, bleibt unklar, wie groß das Datenleck tatsächlich ist und wie viele Nutzer betroffen sind. Zudem ist ungewiss, wie viele Websites noch die notwendigen Updates zur Selbstsicherung durchführen müssen.
Warum das wichtig ist
Sicherheitslücken in weit verbreiteten Plugins wie dem Funnel Builder stellen erhebliche Risiken für Online-Geschäfte und ihre Kunden dar. Diese Schwachstelle unterstreicht die Bedeutung regelmäßiger Software-Updates und sorgfältiger Sicherheitspraktiken zum Schutz sensibler Daten. Während sich die digitale Landschaft weiterentwickelt, müssen auch unsere Bemühungen wachsen, sie vor neuen Bedrohungen zu schützen.
Eine kurze Mail. Die wichtigsten Security-Nachrichten, faktengeprüft, ohne Fülltext. Kostenlos, jederzeit abbestellbar.
Mehr aus Security
Outlook Zero-Click Flaw Lets Hackers Bypass Firewalls
A critical Outlook vulnerability lets attackers compromise systems via email. No user interaction needed, making it a serious threat.
Microsoft 365 Security Workshop: June 2026 Deep Dive
Need to lock down Microsoft 365? A live, online workshop in June 2026 promises hands-on training in identity management, threat protection, and compliance. Get ready.
OpenAI Breach Linked to TanStack Attack; macOS Users Must Update
OpenAI confirmed a security breach tied to the broader TanStack supply chain attack. Two employee devices were impacted, leading to a crucial code-signing certificate rotation.
Hackers Breach OpenAI Code, Prompting Urgent Security Measures
OpenAI reports limited data breach following malware attack on TanStack. No user data compromised. Security measures are underway.
Auch interessant
Starry Nights & City Lights: Heise's Best Photos of the Week
Heise's weekly photo selection is in. Expect stunning urban shots, nature's quiet beauty, and a truly cosmic wonder.
LLMs Shift Focus from Code Writing to Reading in Software Development
With LLMs generating code efficiently, developers must prioritize understanding over writing. The shift challenges traditional coding practices.
Samsung Faces Potential 18-Day Strike, Threatening Memory Market Stability
Samsung is staring down an 18-day strike at its chip plants. The move could worsen the fragile memory market as profit talks stall.
Summer Games Done Quick 2026 Lineup Celebrates Speedrunning
SGDQ 2026 kicks off July 5 in Minneapolis, featuring both classic and quirky speedruns. Proceeds support Doctors Without Borders.
Anker Liberty 5 Pro Earbuds Hint at Touchscreen Case
Anker's new Liberty 5 Pro earbuds might just rewrite the rulebook for wireless audio. Rumors point to a touchscreen case and some serious audio tech.
Tesla Reveals Teleoperator Crashes in Austin Robotaxi Tests
Tesla admits two Robotaxi crashes in Austin involving teleoperators. The incidents highlight challenges in its autonomous network expansion.