Blog

Funnel Builder: falha permite roubo de dados em WooCommerce

Escrito por Luiz Claudio | 16/05/2026 21:03:03
Vulnerabilidade

Funnel Builder: falha permite roubo de dados em WooCommerce

Vulnerabilidade no plugin expõe dados de pagamento em lojas WooCommerce.

Navegacao

O que é / ContextoComo funcionaSinais de alerta / Como identificarO que fazer agora / Como se protegerChecklist prático

Resumo rapido

Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo explorada para injetar código malicioso em páginas de checkout do WooCommerce, visando roubar dados de pagamento dos clientes.

Neste artigo voce vai aprender:

  • O que é a vulnerabilidade no Funnel Builder
  • Como a falha é explorada
  • Sinais de que sua loja pode estar comprometida
  • Como proteger sua loja WooCommerce
  • Passos práticos para mitigar riscos

O que é / Contexto

Recentemente, foi descoberta uma falha crítica no plugin Funnel Builder, utilizado em mais de 40.000 lojas WooCommerce. Essa vulnerabilidade permite que atacantes injetem código JavaScript malicioso nas páginas de checkout das lojas, com o objetivo de roubar dados de pagamento dos clientes, como números de cartão de crédito e endereços de cobrança.

Como funciona

A falha permite que atacantes não autenticados enviem requisições para um endpoint público do plugin, explorando métodos internos que escrevem dados controlados pelo invasor nas configurações globais do plugin. Isso resulta na injeção de código malicioso em todas as páginas de checkout, muitas vezes disfarçado como scripts legítimos, como o Google Tag Manager.

Sinais de alerta / Como identificar

Para identificar se sua loja WooCommerce foi comprometida, fique atento a:

  • Scripts desconhecidos ou suspeitos nas configurações do plugin Funnel Builder.
  • Transações suspeitas ou não autorizadas relatadas por clientes.
  • Alterações não autorizadas nas configurações do plugin.

O que fazer agora / Como se proteger

Para proteger sua loja, siga estas recomendações:

  • Atualize o plugin Funnel Builder para a versão mais recente, onde a falha foi corrigida.
  • Revise as configurações do plugin para identificar e remover scripts desconhecidos.
  • Implemente medidas de segurança adicionais, como autenticação de dois fatores e monitoramento de atividades suspeitas.

Checklist prático

  1. Atualizar o Funnel Builder para a versão 3.15.0.3 ou superior.
  2. Verificar e remover scripts suspeitos nas configurações do plugin.
  3. Monitorar transações e atividades suspeitas na loja.

Perguntas frequentes

O que é o Funnel Builder?

O Funnel Builder é um plugin para WordPress que ajuda a criar funis de vendas em lojas WooCommerce.

Como saber se minha loja foi afetada?

Verifique a presença de scripts desconhecidos nas configurações do plugin e monitore transações suspeitas.

O que fazer se minha loja foi comprometida?

Atualize o plugin, remova scripts maliciosos e implemente medidas de segurança adicionais.

Proteja sua empresa com a LC SEC

Garanta a segurança da sua loja WooCommerce com soluções especializadas da LC SEC.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/funnel-builder-flaw-under-active.html
Visualizar publicação completa