WordPress “Funnel Builder” 爆发零日漏洞:全球 4 万家 WooCommerce 店铺遭”洗劫”
安全机构 Sansec 发布紧急通报,用于 WordPress 的主流营销插件 Funnel Builder(涉及超过 4 万家在线商城)正在遭受大规模的在野零日攻击。
漏洞机制:该插件的一个公开端点由于未做权限校验,允许未授权的远程黑客直接篡改全局配置中的 External Scripts 选项。
杀伤力:攻击者正通过该漏洞,在商城的结账页面中静默植入伪装成”谷歌标签管理器(Google Tag Manager)”的信用卡窃取脚本(Magecart Skimmer),通过 WebSocket 连接直接将用户的卡号、CVV 码和账单地址实时发送至黑客的 C2 服务器。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
