CVE-2026-14345: Kritisk fejl i WPFunnels WordPress-plugin
Kritisk sårbarhed i WPFunnels-plugin lader hackere køre skadelig kode på din WordPress-hjemmeside uden login.
Hvad er det?
WPFunnels er et populært WordPress-plugin, der bruges til at bygge salgs-funnels og checkout-sider til WooCommerce-butikker. En fejl i plugin’ets log-funktion gør det muligt for en angriber at smugle ondsindet kode ind i en log-fil (en tekstfil der registrerer hændelser på sitet). Når en administrator efterfølgende åbner log-filen via plugin’ets indstillinger, bliver koden kørt på serveren. Fejlen hedder teknisk set CWE-434 — ubegrænset filupload — og er til stede i alle versioner op til og med 3.12.7. CVSS-scoren er 9.8 ud af 10, hvilket placerer den i den øverste kritiske kategori.
Hvem rammer det?
Du er i risikogruppen, hvis din virksomhed har en WordPress-hjemmeside med WooCommerce og bruger WPFunnels-plugin i version 3.12.7 eller ældre. Det er særligt relevant for webshops og virksomheder der bruger plugin’et til leadgenerering eller salgssider. Sårbarheden kan udnyttes af alle — angriberen behøver hverken konto eller login på dit site.
Hvad kan ske?
Hvis angriberen udnytter fejlen, kan vedkommende køre vilkårlig kode direkte på din webserver. Det betyder i praksis:
- Fuld overtagelse af hjemmesiden og serveren
- Tyveri af kundedata, ordrehistorik og betalingsoplysninger
- Installation af malware eller bagdøre (skjulte adgange) til fremtidigt misbrug
- Dit site kan bruges til at angribe andre eller sende spam
- GDPR-brud med potentielle bøder og omdømmeskader til følge
Hvor alvorligt er det?
Sårbarheden scorer 9.8 ud af 10 og er klassificeret som kritisk. Den kræver ingen forudgående adgang, ingen særlige tekniske færdigheder og kan udnyttes over internettet. Det eneste praktiske krav er, at log-funktionen er slået til i plugin’ets indstillinger, og at en administrator åbner log-filen — begge dele er normale handlinger for en aktiv bruger af plugin’et. Sårbarhedstypen (fjernudførelse af kode) er en af de mest alvorlige, der kendes inden for cybersikkerhed.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — ideelt inden for 24 timer:
- Opdatér WPFunnels-plugin’et til den seneste version via WordPress-dashboardet (Plugins → Opdateringer). Tjek at versionsnummeret er højere end 3.12.7.
- Slå log-funktionen fra midlertidigt — gå til WPFunnels → Log Settings og deaktivér ‘Enable Logs’, indtil du har opdateret.
- Tjek log-filerne for usædvanligt indhold, fx PHP-kode eller mærkelige tegnsætninger, der ikke ligner normale log-beskeder.
- Gennemgå WordPress-brugere — slet eller suspendér konti du ikke genkender.
- Kontakt din webhost og bed dem tjekke, om der er tegn på kompromittering af serveren.
- Notificér dit IT-ansvarlige eller en ekstern sikkerhedspartner, hvis du har mistanke om, at angrebet allerede har fundet sted.
Opdatér inden for 24 timer
Opdatér WPFunnels-plugin’et med det samme og slå log-funktionen fra, indtil opdateringen er på plads. Denne sårbarhed er teknisk let at udnytte, og angribere scanner aktivt efter forældede plugin-versioner på WordPress-sites. Har du ikke ressourcer til at håndtere det selv, så kontakt en sikkerhedspartner i dag — ventetid øger risikoen markant.
Tidslinje
Konkrete eksempler
Angriber injicerer PHP-kode via funnel-side
En angriber besøger en offentlig funnel-side på din webshop og aflæser det nonce, som plugin’et automatisk sender med. Angriberen bruger dette nonce til at sende en forespørgsel til plugin’ets endepunkt med ondsindet PHP-kode skjult i ‘postData’-parameteren. Koden skrives ind i en log-fil på serveren og er nu klar til at blive eksekveret.
Administrator udløser kodeeksekvering uvidende
En af dine administratorer logger ind i WordPress og åbner WPFunnels log-filen via Plugin’ets ‘Log Settings View’ for at tjekke aktivitet. I det øjeblik filen åbnes, eksekverer serveren den ondsindede PHP-kode, som angriberen har indlejret. Angriberen har nu fuld adgang til serveren og kan installere bagdøre eller eksportere kundedata.
Automatiseret scanning finder sårbart site
En automatiseret bot scanner tusindvis af WordPress-sites og identificerer dit site som kørende en sårbar version af WPFunnels. Hele angrebet — fra injektion til serverovertagelse — kan automatiseres og udføres på sekunder uden menneskelig indblanding fra angriberens side, blot ved at vente på, at en administrator åbner log-filen.
Ofte stillede spørgsmål
Kan min hjemmeside blive angrebet, selvom jeg ikke bruger WooCommerce aktivt?
Ja. Sårbarheden ligger i WPFunnels-plugin’et og ikke i WooCommerce selv. Hvis plugin’et er installeret og aktivt — også selvom du ikke bruger det dagligt — er du i risikogruppen. Overvej at afinstallere plugin’et helt, hvis du ikke har brug for det.
Hvad er et 'nonce', og hvorfor er det et problem at det er offentligt?
Et nonce (number used once) er en slags engangs-sikkerhedskode, som WordPress bruger for at bekræfte, at en handling kommer fra en legitim kilde. I dette tilfælde udsender plugin’et automatisk denne kode på alle funnel-sider — det vil sige, at enhver besøgende kan se den og bruge den til at sende ondsindet data til serveren uden at have en konto.
Jeg har ikke slået 'Enable Logs' til. Er jeg så beskyttet?
Hvis log-funktionen er deaktiveret, er angrebet sværere at gennemføre, fordi den ondsindede kode ikke kan skrives til log-filen. Du er dog stadig sårbar over for fremtidige angrebsvarianter, og det anbefales at opdatere plugin’et uanset hvad. Tjek indstillingerne for en sikkerheds skyld.
Hvordan ved jeg, om mit site allerede er blevet kompromitteret?
Tegn på kompromittering kan være: ukendte brugere i WordPress, ændringer i filer du ikke selv har foretaget, usædvanlig servertrafik eller alarmer fra din webhost. Du kan bede din webhost om at gennemgå server-logfiler, eller bruge et sikkerhedsplugin som Wordfence til at scanne for malware.
Hvad sker der, hvis jeg venter med at opdatere?
Jo længere du venter, jo større er risikoen for at blive ramt. Angribere scanner kontinuerligt internettet for sårbare WordPress-installationer ved hjælp af automatiserede værktøjer. En ubeskyttet hjemmeside kan blive kompromitteret på minutter, når sårbarheden er kendt.
Er alle WordPress-sites med WPFunnels påvirkede, eller kun nogle?
Alle installationer med WPFunnels version 3.12.7 og ældre er teknisk set sårbare. Risikoen er størst, hvis log-funktionen er aktiveret, men grundproblemet — at ondsindet kode kan indlejres — er til stede i alle berørte versioner uanset indstillinger.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 3.12.7 via the ‘postData’ parameter parameter. This is due to unsanitized write of attacker-controlled postData values into a PHP-includeable .log file combined with the use of include_once to render that file in wpfnl_show_log. This makes it possible for unauthenticated attackers to execute code on the server. Exploitation requires that the Log Settings “Enable Logs” toggle is on and that an administrator subsequently opens the polluted log file via the plugin’s Log Settings View UI; however, the nonce required to reach the optin endpoint is publicly emitted on every funnel step page, so the injection step itself is fully unauthenticated.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
