{"id":889,"date":"2026-05-16T17:40:48","date_gmt":"2026-05-16T17:40:48","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/16\/la-falla-del-generador-de-embudo-bajo-explotacion-activa-permite-el-skimming-del-proceso-de-pago-de-woocommerce-cyberdefensa-mx\/"},"modified":"2026-05-16T17:40:48","modified_gmt":"2026-05-16T17:40:48","slug":"la-falla-del-generador-de-embudo-bajo-explotacion-activa-permite-el-skimming-del-proceso-de-pago-de-woocommerce-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/16\/la-falla-del-generador-de-embudo-bajo-explotacion-activa-permite-el-skimming-del-proceso-de-pago-de-woocommerce-cyberdefensa-mx\/","title":{"rendered":"La falla del generador de embudo bajo explotaci\u00f3n activa permite el skimming del proceso de pago de WooCommerce \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una vulnerabilidad de seguridad cr\u00edtica que afecta a la
Constructor de embudos<\/a>
El complemento para WordPress ha sido objeto de explotaci\u00f3n activa en la naturaleza para inyectar c\u00f3digo JavaScript malicioso en las p\u00e1ginas de pago de WooCommerce con el objetivo de robar datos de pago.\n<\/p>\n

Los detalles de la actividad fueron
publicado<\/a>
por Sansec esta semana. La vulnerabilidad actualmente no tiene un identificador CVE oficial. Afecta a todas las versiones del complemento anteriores a la 3.15.0.3. Se utiliza en m\u00e1s de 40.000 tiendas WooCommerce.\n<\/p>\n

La falla permite a atacantes no autenticados inyectar JavaScript arbitrario en cada p\u00e1gina de pago de la tienda, dijo la empresa holandesa de seguridad de comercio electr\u00f3nico. FunnelKit, que mantiene Funnel Builder, ha lanzado un parche para la vulnerabilidad en la versi\u00f3n 3.15.0.3.\n<\/p>\n

\u00abLos atacantes est\u00e1n colocando scripts falsos de Google Tag Manager en la configuraci\u00f3n ‘Scripts externos’ del complemento\u00bb, se\u00f1al\u00f3. \u00abEl c\u00f3digo inyectado parece un an\u00e1lisis ordinario al lado de las etiquetas reales de la tienda, pero carga un skimmer de pagos que roba n\u00fameros de tarjetas de cr\u00e9dito, CVV y direcciones de facturaci\u00f3n del proceso de pago\u00bb.\n<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Seg\u00fan Sansec, Funnel Builder incluye un punto final de pago expuesto p\u00fablicamente que permite que una solicitud entrante elija el tipo de m\u00e9todo interno a ejecutar. Sin embargo, las versiones anteriores se dise\u00f1aron de manera que nunca verificaran los permisos de la persona que llama ni limitaran los m\u00e9todos que se pod\u00edan invocar.\n<\/p>\n

Un mal actor podr\u00eda aprovechar esta laguna mediante la emisi\u00f3n de una solicitud no autenticada que puede llegar a un m\u00e9todo interno no especificado que escribe datos controlados por el atacante directamente en la configuraci\u00f3n global del complemento. Luego, el fragmento de c\u00f3digo agregado se inyecta en cada p\u00e1gina de pago de Funnel Builder.\n<\/p>\n

Como resultado, un atacante podr\u00eda colocar un malware <\/p>\n

En al menos un caso, Sansec dijo que observ\u00f3 una carga \u00fatil que se hac\u00eda pasar por un cargador de Google Tag Manager (GTM) para iniciar JavaScript alojado en un dominio remoto. Posteriormente abre una conexi\u00f3n WebSocket al servidor de comando y control (C2) del atacante (\u00abwss:\/\/protect-wss[.]com\/ws\u00bb) para recuperar un skimmer adaptado al escaparate de la v\u00edctima.\n<\/p>\n

El objetivo final del ataque es desviar n\u00fameros de tarjetas de cr\u00e9dito, CVV, direcciones de facturaci\u00f3n y otra informaci\u00f3n personal que los visitantes del sitio podr\u00edan ingresar al finalizar la compra. Se recomienda a los propietarios del sitio que actualicen el complemento Funnel Builder a la \u00faltima versi\u00f3n y revisen Configuraci\u00f3n > Pagar > Scripts externos para detectar cualquier cosa que no les resulte familiar y eliminarla.\n<\/p>\n

\u00abVestir a los skimmers como c\u00f3digo de Google Analytics o Tag Manager es una
patr\u00f3n recurrente de Magecart, ya que los revisores tienden a pasar por alto cualquier cosa que parezca una etiqueta de seguimiento familiar\u00bb, dijo Sansec.
\n<\/a><\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La divulgaci\u00f3n se produce semanas despu\u00e9s de que Sucuri detallara una campa\u00f1a en la que los sitios web Joomla est\u00e1n siendo bloqueados con c\u00f3digo PHP muy ofuscado para contactar servidores C2 controlados por atacantes, recibir y procesar instrucciones enviadas por los operadores y servir contenido spam a visitantes y motores de b\u00fasqueda sin el conocimiento del propietario del sitio. El objetivo final es aprovechar la reputaci\u00f3n de los sitios a la hora de inyectar spam.\n<\/p>\n

\u00abEl script act\u00faa como un cargador remoto\u00bb, afirma el investigador de seguridad Puja Srivastava
dicho<\/a>
. \u00abSe pone en contacto con un servidor externo, env\u00eda informaci\u00f3n sobre el sitio web infectado y espera instrucciones. La respuesta del servidor remoto determina qu\u00e9 contenido debe ofrecer el sitio infectado\u00bb.\n<\/p>\n

\u00abEste enfoque permite a los atacantes cambiar el comportamiento del sitio web comprometido en cualquier momento sin modificar los archivos locales nuevamente. El atacante puede inyectar enlaces de productos spam, redirigir a los visitantes o mostrar p\u00e1ginas maliciosas din\u00e1micamente\u00bb.\n<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una vulnerabilidad de seguridad cr\u00edtica que afecta a laConstructor de embudosEl complemento para WordPress ha sido objeto de explotaci\u00f3n activa en la naturaleza para inyectar c\u00f3digo JavaScript malicioso en las p\u00e1ginas de pago de WooCommerce con el objetivo de robar datos de pago. Los detalles de la actividad fueronpublicadopor Sansec esta semana. La vulnerabilidad actualmente […]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[107,105,24,70,2568,106,263,2567,1293,265,1406,2569,2570],"class_list":["post-889","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-activa","tag-bajo","tag-cyberdefensa-mx","tag-del","tag-embudo","tag-explotacion","tag-falla","tag-generador","tag-pago","tag-permite","tag-proceso","tag-skimming","tag-woocommerce"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=889"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/889\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}