WooCommerce-plugin läcker kunddata – så funkar FunnelKit-hålet

Den tysta stölden vid kassan

Tänk dig en inbrottstjuv som varken bryter sig in eller tvingar upp dörrar. I stället glider han in genom en öppen sidoingång, ser hur kunderna matar in sina kortuppgifter och lämnar sedan platsen med en hel mapp full av betalningsdata. Inga larm. Inga spår. Och ingen anade något – förrän säkerhetsforskare upptäckte vad som pågick.

Det var precis vad som hände på över 40 000 WooCommerce-butiker som körde en gammal version av FunnelKit-pluginet.

Mellan upptäckten av sårbarheten och den officiella uppdateringen i maj 2026 låg butikerna öppna för attacker. Hackarna kunde samla in kortnummer, CVV-koder, adresser och annan kundinformation direkt vid kassan. Kunderna märkte ingenting. De flesta butiksägare gjorde detsamma.

Hur attacken fungerade – och varför den var så effektiv

Det farliga med denna sårbarhet var att den var både simpel och diskret. Malicious code var förklädd till en vanlig analytics-script – samma typ av tracking-kod som finns på nästan alla e-handelssajter. Butikens egen dashboard såg helt normal ut. Kundernas checkout-upplevelse var störningsfri.

Men bakom kulisserna samlades formdata in varje gång en ny keystroke gjordes i betalningsfälten. Data skickades vidare till attackerarnas egna serverar. Normala säkerhetskontroller fångade inte upp detta. De flesta butiksägare hade ingen anledning att reagera.

Sårbarkeheter i populära plugins är särskilt riskabla eftersom de slår mot tusentals butiker samtidigt,而支付数据又牵涉到支付数据.

Storleken av skadan

Här är några av de viktigaste siffrorna:

• 40 000+ WooCommerce-butiker körde sårbara versioner
• Varje butik som inte uppdaterade kunde vara komprometterad
• Varje transaktion som gjordes under perioden kan ha varit en exponerad tillb