ثغرة Funnel Builder تُعرّض 40 ألف متجر WooCommerce لسرقة البطاقات الائتمانية
فريق جلتش18 مايو1 مشاهدة3 دقائق
"ثغرة أمنية حرجة في إضافة Funnel Builder لـ WordPress تُمكن المهاجمين من حقن أكواد خبيثة لسرقة بيانات بطاقات الائتمان من 40 ألف متجر WooCommerce نشط."
مقدمة تحليلية
تجري حالياً عمليات استغلال نشطة لثغرة أمنية حرجة في إضافة Funnel Builder الشهيرة لمنصة WordPress، مما يضع أكثر من 40,000 متجر إلكتروني يعتمد على WooCommerce في دائرة الخطر المباشر. الهجمات المكتشفة تتبع نمط Magecart الكلاسيكي، حيث يتم حقن برمجيات JavaScript خبيثة في صفحات إتمام الشراء (Checkout) بهدف اعتراض وسرقة بيانات الدفع الحساسة. لا تكمن خطورة هذه الثغرة في انتشارها الواسع فحسب، بل في قدرتها على السماح للمهاجمين غير المصرح لهم بتعديل إعدادات الإضافة العالمية وحقن أكوادهم دون الحاجة لأي صلاحيات وصول مسبقة، مما يجعلها واحدة من أكثر التهديدات الأمنية تأثيراً على النظام البيئي للتجارة الإلكترونية في عام 2026.التحليل التقني
كشفت التقارير الصادرة عن شركة Sansec للأمن الإلكتروني أن الخلل يكمن في نقطة نهاية (Endpoint) عامة مخصصة لعمليات الدفع داخل إضافة Funnel Builder. هذه النقطة تفتقر إلى التحقق من صلاحيات المستخدم (Permission Check) وتسمح باستدعاء دوال داخلية بشكل غير آمن. إليكم تفاصيل الآلية التقنية للهجوم:- نواقل الحقن: يستغل المهاجمون ثغرة في منطق التحقق لاستدعاء طرق داخلية (Internal Methods) تقوم بكتابة بيانات مباشرة في إعداد 'External Scripts' الخاص بالإضافة.
- التنكر البرمجي: يتم حقن كود خبيث يتنكر في هيئة نص برمي لـ Google Tag Manager (GTM). هذا التمويه يهدف إلى خداع مديري المواقع الذين قد يتجاهلون وجود أكواد تتبع مألوفة أثناء المراجعة الدورية.
- قنوات الاتصال: بمجرد تفعيل الكود في متصفح الضحية أثناء الشراء، يقوم بفتح اتصال WebSocket مع خادم تحكم وسيط (C2) على النطاق protect-wss[.]com لتقديم كود 'Skimmer' مخصص لواجهة المتجر المستهدف.
- البيانات المسروقة: يستهدف الهجوم سحب أرقام بطاقات الائتمان، رموز CVV، تواريخ الانتهاء، وعناوين الفوترة بشكل فوري قبل تشفيرها أو إرسالها إلى بوابة الدفع الرسمية.
- الإصدارات المتأثرة: جميع إصدارات Funnel Builder التي تسبق النسخة 3.15.0.3 عرضة للاختراق.
السياق وتأثير السوق
تأتي هذه الثغرة في وقت تشهد فيه هجمات 'كشط البيانات' (Web Skimming) تطوراً ملحوظاً في أساليب التخفي. إن اعتماد 40,000 متجر على هذه الإضافة يعني أن مئات الآلاف من معاملات الدفع اليومية كانت معرضة للتسريب. تاريخياً، ارتبطت هجمات Magecart بمنصة Magento، لكن انتقالها بكثافة إلى WooCommerce يعكس تحول المهاجمين نحو المنصات الأكثر شعبية وسهولة في الاستخدام. بالمقارنة مع ثغرات سابقة في إضافات مثل Joomla التي تم اكتشافها مؤخراً، نجد أن هجوم Funnel Builder أكثر خطورة نظراً لاستهدافه المباشر لتدفقات الأموال والبيانات المالية، وليس مجرد حقن روابط SEO سبام أو إعادة توجيه الزوار.رؤية Glitch4Techs
تعكس ثغرة Funnel Builder الحقيقة المرة في بيئة WordPress: أن أمن المتجر لا يتوقف عند تأمين النواة (Core)، بل يعتمد كلياً على أضعف حلقة في سلسلة الإضافات المنصبة. إن السماح لإضافة بالوصول إلى صفحات الشراء وحقن نصوص برمجية خارجية دون رقابة صارمة يُعد مخاطرة بنيوية. نحن في Glitch4Techs نرى أن الحلول التقليدية مثل تحديث الإضافات لم تعد كافية؛ يجب على أصحاب المتاجر اعتماد سياسات أمن محتوى (Content Security Policy - CSP) صارمة تمنع المتصفح من تنفيذ أي JavaScript من نطاقات غير مصرح بها مسبقاً. التوقعات تشير إلى أن المهاجمين سيستمرون في استغلال 'الثقة العمياء' في أدوات التتبع مثل Google Analytics وGTM لتمرير حمولاتهم، مما يتطلب أدوات مراقبة لسلامة الأكواد في الوقت الفعلي (Client-side Security Monitoring). نصيحة تقنية: إذا كنت تدير متجراً يستخدم هذه الإضافة، لا تكتفِ بالتحديث فحسب؛ بل يجب عليك فحص المسار Settings > Checkout > External Scripts فوراً وإزالة أي كود غير معروف أو مريب.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.