Više od polovice korisnika popularnog dodatka Funnel Builder još uvijek koristi ranjivu verziju koja napadačima omogućuje krađu brojeva kreditnih kartica.
Popularni WordPress dodatak Funnel Builder, namijenjen prilagodbi stranica za naplatu u WooCommerce trgovinama, sadrži kritičnu sigurnosnu ranjivost. Prema sigurnosnim stručnjacima, napadači je iskorištavaju za krađu podataka o kreditnim karticama izravno s preglednika kupaca.
Ranjivost, označena kao CVE-2026-47100 s ocjenom ozbiljnosti 8,7 od 10, otkrivena je 14. svibnja 2026. od strane tima za kibernetičku sigurnost e-trgovine Sansec. Iako je ispravak objavljen u verziji 3.15.0.3 već dan ranije, statistike pokazuju da više od polovice aktivnih instalacija i dalje koristi ranjivu verziju.
Mehanizam napada temelji se na pogrešci u autentifikaciji. Tehnička ulazna točka (AJAX endpoint) dodatka prihvaća zahtjeve bez provjere identiteta pošiljatelja. Iskorištavanjem ove ranjivosti napadač može upisati zlonamjerni JavaScript kod u globalne postavke dodatka, u polje namijenjeno za vanjske skripte poput Google Analyticsa.
Ovaj zlonamjerni kod automatski se učitava na svakoj stranici za naplatu, u pregledniku svakog kupca. Kako bi izbjegao detekciju, maskira se kao legitimna skripta Google Tag Managera. U stvarnosti dekodira skrivenu adresu putem base64 formata kako bi učitavao vanjsku JavaScript datoteku koja zatim otvara WebSocket vezu – kanal za komunikaciju u stvarnom vremenu između preglednika i napadačeva poslužitelja. Tim kanalom prenose se podaci uneseni u obrazac za plaćanje: broj kartice, CVV kod i adresa za naplatu.
Ova vrsta napada, poznata kao Magecart, posebna je po tome što zlonamjerni kod ne mijenja nijednu datoteku na web stranici. On se nalazi u opciji unutar WordPress baze podataka, što ga čini nevidljivim za standardne skenere datoteka.
Kupci nemaju načina otkriti ugroženu stranicu prije nego što unesu svoje podatke. U slučaju sumnjive transakcije Zakon o platnom prometu (članak 133-24, koji prenosi europsku direktivu DSP2) predviđa rok od 13 mjeseci za prijavu prijevarne operacije banci i ostvarivanje prava na povrat novca. Ovaj rok ne treba miješati s rokom od osam tjedana koji se odnosi isključivo na osporavanje iznosa kod autoriziranih plaćanja.
Svaka punoljetna osoba koja svojevoljno prihvata iluziju kao istinu i užitak…neka bude kažnjena zbog svoje gluposti. Ništa nije prevara u iluziji.
WordPress je odavno provaljen kao špijunski program, a isto vrijedi i za DreamWeaver.
Zbog toga neki svoje web stranice pišu kompletno ručno, bez oslanjanja na ikakve alate i programe.
Sve aplikacije na ovaj ili onaj naići kradu sve sa kompjutera ili mobitela. Neki dan sam nešto instalirao na kompjuter, ispod aplikacije piše da ima pristup svemu na kompjuteru. Mobiteli su još prije 15 godina kopirali sve podatke sa mobitela i to su slali nekamo. Ako postoji koja nepoznata aplikacija na ne mobitelu google je odmah skenira da vidi šta ta aplikacija radi i onda kao tobože označavaju kao lošem za mobitel. Jer aplikacija ne dijeli podatke sa googlom, kao što to moraju raditi sve ostale aplikacije.