تم اكتشاف ثغرة أمنية حرجة في إضافة “Funnel Builder” لـ WordPress، والتي تُستخدم حالياً في استغلال نشط لزرع شفرات JavaScript خبيثة في صفحات الدفع الخاصة بـ WooCommerce بهدف سرقة بيانات الدفع.
نشرت شركة Sansec، المتخصصة في أمن التجارة الإلكترونية، التفاصيل المتعلقة بهذا الاستغلال. لا تحمل الثغرة حالياً معرّف CVE رسمياً، وهي تؤثر على جميع إصدارات الإضافة قبل 3.15.0.3، بينما تُستخدم الإضافة في أكثر من 40,000 متجر WooCommerce.
ثغرة Funnel Builder وخطر سرقة بيانات الدفع
الخلل الأمني يسمح للمهاجمين، حتى غير المصادق على دخولهم، بحقن تعليمات JavaScript عشوائية في كل صفحة دفع بالمتجر. وقد قامت FunnelKit، الشركة المسؤولة عن تطوير “Funnel Builder”، بإصدار تحديث لإصلاح هذه الثغرة في الإصدار 3.15.0.3.
يشير تقرير Sansec إلى أن المهاجمين يقومون بزرع نصوص برمجية وهمية لـ Google Tag Manager ضمن إعداد “External Scripts” في الإضافة. وتظهر هذه الشفرات المزروعة كجزء من أكواد التحليل المعتادة للمتجر، إلا أنها تقوم بتحميل برامج “ماسحة” تدعى شفرة الدفع، والتي تهدف إلى سرقة أرقام بطاقات الائتمان، رموز التحقق (CVV)، وعناوين الفواتير.
آلية عمل الثغرة
تمتلك إضافة “Funnel Builder” نقطة نهاية دفع متاحة للعامة، والتي تسمح للطلب الوارد بتحديد نوع الطريقة الداخلية التي يجب تنفيذها. لكن الإصدارات القديمة من الإضافة لم تكن تتحقق من صلاحيات المتصل أو تقييد أي الطرق يمكن استدعاؤها.
يستطيع المهاجم استغلال هذه الثغرة عن طريق إرسال طلب غير مصادق عليه يصل إلى طريقة داخلية غير محددة، تقوم بكتابة بيانات يتحكم بها المهاجم مباشرة في الإعدادات العامة للإضافة. بعد ذلك، يتم حقن مقتطف الشفرة في كل صفحة دفع تستخدم “Funnel Builder”.
نتيجة لذلك، يمكن للمهاجم زرع وسم `