CVE-2026-14345
Kritisk

CVE-2026-14345: Kritisk fejl i WPFunnels WordPress-plugin

Kritisk sårbarhed i WPFunnels-plugin lader hackere køre skadelig kode på din WordPress-hjemmeside uden login.

CVSS Score
9.8
Offentliggjort
07/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

WPFunnels er et populært WordPress-plugin, der bruges til at bygge salgs-funnels og checkout-sider til WooCommerce-butikker. En fejl i plugin’ets log-funktion gør det muligt for en angriber at smugle ondsindet kode ind i en log-fil (en tekstfil der registrerer hændelser på sitet). Når en administrator efterfølgende åbner log-filen via plugin’ets indstillinger, bliver koden kørt på serveren. Fejlen hedder teknisk set CWE-434 — ubegrænset filupload — og er til stede i alle versioner op til og med 3.12.7. CVSS-scoren er 9.8 ud af 10, hvilket placerer den i den øverste kritiske kategori.

Hvem rammer det?

Du er i risikogruppen, hvis din virksomhed har en WordPress-hjemmeside med WooCommerce og bruger WPFunnels-plugin i version 3.12.7 eller ældre. Det er særligt relevant for webshops og virksomheder der bruger plugin’et til leadgenerering eller salgssider. Sårbarheden kan udnyttes af alle — angriberen behøver hverken konto eller login på dit site.

Hvad kan ske?

Hvis angriberen udnytter fejlen, kan vedkommende køre vilkårlig kode direkte på din webserver. Det betyder i praksis:

  • Fuld overtagelse af hjemmesiden og serveren
  • Tyveri af kundedata, ordrehistorik og betalingsoplysninger
  • Installation af malware eller bagdøre (skjulte adgange) til fremtidigt misbrug
  • Dit site kan bruges til at angribe andre eller sende spam
  • GDPR-brud med potentielle bøder og omdømmeskader til følge

Hvor alvorligt er det?

Sårbarheden scorer 9.8 ud af 10 og er klassificeret som kritisk. Den kræver ingen forudgående adgang, ingen særlige tekniske færdigheder og kan udnyttes over internettet. Det eneste praktiske krav er, at log-funktionen er slået til i plugin’ets indstillinger, og at en administrator åbner log-filen — begge dele er normale handlinger for en aktiv bruger af plugin’et. Sårbarhedstypen (fjernudførelse af kode) er en af de mest alvorlige, der kendes inden for cybersikkerhed.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — ideelt inden for 24 timer:

  1. Opdatér WPFunnels-plugin’et til den seneste version via WordPress-dashboardet (Plugins → Opdateringer). Tjek at versionsnummeret er højere end 3.12.7.
  2. Slå log-funktionen fra midlertidigt — gå til WPFunnels → Log Settings og deaktivér ‘Enable Logs’, indtil du har opdateret.
  3. Tjek log-filerne for usædvanligt indhold, fx PHP-kode eller mærkelige tegnsætninger, der ikke ligner normale log-beskeder.
  4. Gennemgå WordPress-brugere — slet eller suspendér konti du ikke genkender.
  5. Kontakt din webhost og bed dem tjekke, om der er tegn på kompromittering af serveren.
  6. Notificér dit IT-ansvarlige eller en ekstern sikkerhedspartner, hvis du har mistanke om, at angrebet allerede har fundet sted.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Opdatér WPFunnels-plugin’et med det samme og slå log-funktionen fra, indtil opdateringen er på plads. Denne sårbarhed er teknisk let at udnytte, og angribere scanner aktivt efter forældede plugin-versioner på WordPress-sites. Har du ikke ressourcer til at håndtere det selv, så kontakt en sikkerhedspartner i dag — ventetid øger risikoen markant.

Tidslinje

07/07/2026
CVE offentliggjort i NVD
Den nationale sårbarhedsdatabase (NVD) offentliggjorde CVE-2026-14345 med en kritisk CVSS-score på 9.8. Sårbarheden påvirker WPFunnels op til og med version 3.12.7.
07/07/2026
Sårbarhedstype og angrebsvektor bekræftet
Sikkerhedsforskere bekræftede, at fejlen kan udnyttes uden login via plugin'ets offentligt tilgængelige nonce på alle funnel-sider, hvilket gør injektionstrinnet fuldt uautoriseret.
07/07/2026
Patch forventet frigivet
Plugin-udviklerne forventes at udgive en opdateret version der adresserer CWE-434-fejlen. Tjek WordPress plugin-kataloget for den seneste version og opdatér straks.

Konkrete eksempler

Angriber injicerer PHP-kode via funnel-side

En angriber besøger en offentlig funnel-side på din webshop og aflæser det nonce, som plugin’et automatisk sender med. Angriberen bruger dette nonce til at sende en forespørgsel til plugin’ets endepunkt med ondsindet PHP-kode skjult i ‘postData’-parameteren. Koden skrives ind i en log-fil på serveren og er nu klar til at blive eksekveret.

Administrator udløser kodeeksekvering uvidende

En af dine administratorer logger ind i WordPress og åbner WPFunnels log-filen via Plugin’ets ‘Log Settings View’ for at tjekke aktivitet. I det øjeblik filen åbnes, eksekverer serveren den ondsindede PHP-kode, som angriberen har indlejret. Angriberen har nu fuld adgang til serveren og kan installere bagdøre eller eksportere kundedata.

Automatiseret scanning finder sårbart site

En automatiseret bot scanner tusindvis af WordPress-sites og identificerer dit site som kørende en sårbar version af WPFunnels. Hele angrebet — fra injektion til serverovertagelse — kan automatiseres og udføres på sekunder uden menneskelig indblanding fra angriberens side, blot ved at vente på, at en administrator åbner log-filen.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-434

Original NVD-beskrivelse (engelsk)

The WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 3.12.7 via the ‘postData’ parameter parameter. This is due to unsanitized write of attacker-controlled postData values into a PHP-includeable .log file combined with the use of include_once to render that file in wpfnl_show_log. This makes it possible for unauthenticated attackers to execute code on the server. Exploitation requires that the Log Settings “Enable Logs” toggle is on and that an administrator subsequently opens the polluted log file via the plugin’s Log Settings View UI; however, the nonce required to reach the optin endpoint is publicly emitted on every funnel step page, so the injection step itself is fully unauthenticated.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-14345
Offentliggjort
07/07/2026
Sidst opdateret
07/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.