Une faille critique dans un plugin WordPress installé sur plus de 40 000 boutiques permet à des attaquants d'intercepter les numéros de carte bancaire saisis par les acheteurs au moment du paiement. L'exploitation est active depuis mi-mai.
Le plugin concerné s'appelle Funnel Builder, développé par FunnelKit. Il sert à personnaliser les pages de paiement des boutiques utilisant WooCommerce, la principale solution d'e-commerce pour WordPress.
La faille, référencée CVE-2026-47100 (score de sévérité CVSS 8.7 sur 10), a été documentée le 14 mai 2026 par l'équipe de cybersécurité e-commerce Sansec. Un correctif existe dans la version 3.15.0.3, publiée le 13 mai. Mais selon les statistiques de la page du plugin sur WordPress.org, plus de la moitié des sites concernés utilisent encore une version vulnérable.
