Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo ativamente explorada para injetar código JavaScript malicioso nas páginas de checkout do WooCommerce, com o objetivo de roubar dados de pagamento. A falha afeta todas as versões do plugin anteriores à 3.15.0.3 e é utilizada em mais de 40.000 lojas WooCommerce. A vulnerabilidade permite que atacantes não autenticados injetem JavaScript arbitrário em cada página de checkout, disfarçando o código malicioso como scripts de análise do Google Tag Manager. Isso resulta na instalação de um skimmer de pagamento que captura números de cartões de crédito, CVVs e endereços de cobrança dos usuários durante a finalização da compra. A empresa responsável pelo plugin, FunnelKit, já lançou um patch para corrigir a falha. Os proprietários de sites são aconselhados a atualizar o plugin e revisar as configurações de scripts externos para remover qualquer código suspeito. A situação é alarmante, pois a injeção de código malicioso em plataformas amplamente utilizadas pode ter um impacto significativo na segurança das transações online.
Fonte: https://thehackernews.com/2026/05/funnel-builder-flaw-under-active.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
16/05/2026 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica no plugin Funnel Builder do WordPress
RESUMO EXECUTIVO
A vulnerabilidade no plugin Funnel Builder representa um risco significativo para a segurança das transações em lojas WooCommerce, com a possibilidade de roubo de dados sensíveis. A correção já está disponível, e a ação imediata é necessária para evitar consequências legais e financeiras.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a fraudes e danos à reputação.
Operacional
Roubo de dados de pagamento, incluindo números de cartões de crédito e CVVs.
Setores vulneráveis
['E-commerce', 'Varejo', 'Serviços financeiros']
📊 INDICADORES CHAVE
Mais de 40.000 lojas WooCommerce afetadas.
Indicador
Versões do plugin afetadas anteriores à 3.15.0.3.
Contexto BR
Injeção de código malicioso em todas as páginas de checkout.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o plugin Funnel Builder está na versão 3.15.0.3 ou superior.
2
Atualizar o plugin para a versão mais recente e revisar scripts externos nas configurações.
3
Monitorar continuamente as transações e logs de acesso para identificar atividades suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das transações online e a proteção de dados sensíveis dos clientes, especialmente em um cenário de crescente regulamentação como a LGPD.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, que exige a proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
