Criminelen maken gebruik van een kwetsbaarheid in de WordPress-plug-in FunnelKit om creditcardgegevens bij webwinkels te stelen. Dat laat securitybedrijf Sansec weten. Een beveiligingsupdate voor het probleem is sinds een aantal dagen beschikbaar, maar bijna dertigduizend op WooCommerce gebaseerde webshops hebben de patch nog niet geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan zeven miljoen WordPress-sites geïnstalleerd.
Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder FunnelKit. Deze plug-in, die op meer dan 40.000 webshops actief is, moet ervoor zorgen dat klanten sneller tot het aanschaffen van producten en diensten overgaan. Een kwetsbaarheid in FunnelKit zorgt ervoor dat aanvallers malafide scripts aan de betaalpagina van de webshop kunnen uitvoeren. Bij het waargenomen misbruik voegen aanvallers een script toe dat door klanten ingevulde creditcardgegevens op de betaalpagina onderschept en terugstuurt naar de criminelen.
De kwetsbaarheid is verholpen in FunnelKit 3.15.0.3 die vier dagen geleden verscheen. Sindsdien hebben ruim 11.000 webshops de update geïnstalleerd, zo blijkt uit cijfers van WordPress.org. Dat houdt in dat zeker 29.000 webwinkels nog risico lopen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
