Sécurité
Vulnérabilité FunnelKit : 30 000 boutiques exposées au vol
Par Steven | TrustYourWebsite2 min de lecture
Source: Security.NL
La société de sécurité Sansec alerte sur le fait que des criminels exploitent activement une vulnérabilité dans le plugin WordPress FunnelKit pour dérober des données de cartes bancaires sur des boutiques en ligne basées sur WooCommerce. Selon Security.NL, qui a rapporté cette information le 18 mai 2026, près de 30 000 boutiques en ligne n'ont pas encore installé le correctif de sécurité disponible et restent exposées.
Qu'est-ce que FunnelKit ?
FunnelKit est un plugin utilisé en complément de WooCommerce, l'outil populaire qui permet de transformer un site WordPress en boutique en ligne. Selon Security.NL, FunnelKit est actif sur plus de 40 000 boutiques en ligne. À noter que WooCommerce lui-même n'est pas décrit comme vulnérable. Le problème est spécifique à FunnelKit.
Comment fonctionne l'attaque ?
Selon Sansec, cité par Security.NL, la vulnérabilité permet à des attaquants d'injecter des scripts malveillants sur la page de paiement d'une boutique affectée. Lorsqu'un client saisit ses coordonnées bancaires lors du paiement, le script intercepte ces données et les envoie directement aux criminels. Le client ne remarque rien d'inhabituel, et le propriétaire de la boutique peut ignorer totalement ce qui se passe.
Quelle est la situation actuelle ?
Une mise à jour de sécurité, FunnelKit version 3.15.0.3, est disponible et corrige la vulnérabilité. Selon Security.NL, citant des chiffres issus de WordPress.org, plus de 11 000 boutiques avaient installé la mise à jour au moment de la publication de l'article. Cela signifie qu'environ 29 000 boutiques utilisaient encore la version vulnérable et restaient exposées au 18 mai 2026.
Si vous gérez une boutique WooCommerce et utilisez FunnelKit, vérifier la version de votre plugin et effectuer la mise à jour immédiatement est la démarche la plus importante à entreprendre dès maintenant. Vous trouverez des étapes pratiques dans notre liste de contrôle sécurité pour les petites entreprises et notre guide sur les plugins WordPress vulnérables.
Qu'est-ce que cela signifie pour votre site ?
Si votre boutique utilise FunnelKit, les données de paiement de vos clients pourraient être compromises tant que vous n'avez pas mis à jour vers la version 3.15.0.3 ou supérieure. En vertu du RGPD et de la Loi Informatique et Libertés, vous êtes responsable de la sécurité des données personnelles, y compris les informations de paiement, et une violation pourrait vous obliger à en informer la CNIL. Maintenir tous vos plugins à jour est l'un des moyens les plus simples et les plus efficaces de protéger à la fois vos clients et votre activité.
Vérifiez votre site web maintenant
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitArticles connexes
Sécurité
Cybersécurité PME : Le gouvernement néerlandais investit 5,3
Les cyberattaques touchent de plus en plus les petites et moyennes entreprises, et beaucoup de dirigeants n'ont tout simplement pas le temps, les connaissances ou le personnel nécessaires pour y faire
2 min de lecture
Sécurité
Faille FunnelKit : vol de cartes bancaires sur WordPress
Une vulnérabilité de sécurité grave dans le plugin FunnelKit Funnel Builder pour WordPress serait activement exploitée par des attaquants pour dérober les informations de carte bancaire des clients au
3 min de lecture
Sécurité
Faille Exim CVE-2026-45185 : Vulnérabilité critique corrigée
Une faille de sécurité grave a été découverte dans Exim, un serveur de messagerie largement utilisé. Selon Security.NL, la vulnérabilité (CVE-2026-45185) a été signalée le 15 mai 2026 et permet à un a
2 min de lecture