Critical FunnelKit Vulnerability Puts 40,000+ WooCommerce Sites at Risk
2026/05/18 gbhackers — WooCommerce の Funnel Builder プラグインに存在する深刻なセキュリティ脆弱性 CVE-2026-47100 (CVSS 8.7) が、FunnelKit を悪用する脅威アクターに現在進行形で悪用されており、4万以上の Webサイトが決済データ窃取のリスクにさらされている。この脆弱性が影響を及ぼす範囲は、Funnel Builder バージョン 3.15.0.3 未満であり、未認証の攻撃者に対して、WooCommerce のチェックアウト・ページへの任意の JavaScript 注入を許すものである。
特に Funnel Builder はチェックアウト・フローの最適化およびアップセル機能に広く利用されているため、大規模な決済データを狙う攻撃者にとって高価値ターゲットとなっている。
この問題は、プラグイン内のセキュリティ対策が不十分なチェックアウト用の公開エンドポイントに起因している。そこでは、受信したリクエストにより実行する内部メソッドを指定できる仕様になっているが、影響を受けるバージョンでは、ユーザー権限の検証が行われておらず、機密性の高いメソッドへのアクセス制限も実施されていない。
その結果、未認証のリクエストを送信する攻撃者は、プラグインの設定更新を処理する内部関数を呼び出せる。それらのリクエストには、管理者が解析ツールやトラッキング・ツールなどのカスタムスクリプトを追加するための、External Scripts 設定も含まれる。
この機能を悪用する攻撃者は、悪意の <script> タグを挿入し、すべてのチェックアウト・ページで自動実行させることが可能となる。実際に、Sansec のセキュリティ研究者が GBHackers と共有したレポートでも、脅威アクターがチェックアウト・ページに悪意のスクリプトを注入し、取引中の機密性の高い顧客情報を密かに窃取する攻撃が確認されている。
これにより、チェックアウト・プロセスは事実上のデータ流出経路へと変化し、クレジットカード番号/CVV/請求先住所などの個人情報が露出することになった。
すでに FunnelKit は、バージョン 3.15.0.3 において適切な権限チェックを実装し、エンドポイントを許可済みメソッドのセーフ・リストにより制限することで、この問題に対処した。
FunnelKit の脆弱性
Sansec によると、
正規の Google Tag Manager や解析スクリプトに見えるよう、攻撃者はペイロードを偽装している。この手法は、Magecart 型キャンペーンの典型的なものであり、一連の悪意のスクリプトは正規トラッキング・コードに混在するため、日常的な点検では検知が困難である。
確認された攻撃の一例では、注入されたスクリプトが base64 エンコードを使用し、二次ペイロード URL を隠蔽していた。ページ読み込み時に、文字列をデコードした上で、以下の悪意の外部ドメインからスクリプトを読み込む仕様になっていた。
- 悪意のドメイン:analytics-reports[.]com
- ペイロード配信パス:/wss/jquery-lib.js
- Command-and-control (C2):wss://protect-wss[.]com/ws
実行後、このスクリプトは攻撃者のインフラと WebSocket の間の接続を確立し、カスタマイズされた決済スキマーを動的に取得していた。このスキマーが、機密性の高い決済データをリアルタイムで傍受して外部へ流出させる。
この手法が浮き彫りにするのは、Google Analytics のような信頼されたサービスを、攻撃者が模倣して検知回避を試みる傾向の増加である。管理者が見慣れたスクリプトを見落としやすいという性質を、悪用する手法が横行している。
緩和策
すでに FunnelKit は、セキュリティ・パッチを公開している。Webサイト管理者に強く推奨されるのは、速やかなアップデートの実施である。
- WordPress ダッシュボードから Funnel Builder をバージョン 3.15.0.3 以降へ更新する。
- Settings > Checkout > External Scripts のすべてのエントリを確認し、不明または不審なコードを削除する。
- Sansec の eComscan などのセキュリティツールで Webサイトをスキャンし、スキマー/バックドアなどの潜在的な脅威を検出する。
- チェックアウト動作およびログを監視し、不審な活動や未承認の変更がないことを確認する。
この脆弱性は、現在も積極的に悪用されており影響は極めて深刻であるため、更新を遅延させると継続的なデータ窃取/金銭的損失/信用の失墜につながる可能性がある。WooCommerce ストアを運用する組織は、この問題を最優先インシデントとして扱い、顧客データ保護と信頼維持のために直ちに是正措置を講じる必要がある。
訳者後書:今回の WooCommerce の Funnel Builder プラグインで発生した問題の原因は、プラグイン内にある公開エンドポイントのセキュリティ対策が不十分だったことにあります。本来であれば、システムを操作する前にユーザーの権限を正しく検証し、アクセス制限を行う必要がありますが、それが実施されていませんでした。そのため、未認証の攻撃者からのリクエストにより、設定を更新する内部関数が直接呼び出せる状態になっていました。この欠陥を突く攻撃者により、悪意のスクリプトが追加され、大切な決済データが流出するリスクに繋がってしまいました。ご利用のチームは、ご注意ください。よろしければ、WooCommerce での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.