ثغرة XSS في All In One Security//نشرت في 2026-06-09//CVE-2026-8438

فريق أمان جدار الحماية WP

All In One WP Security & Firewall Vulnerability

اسم البرنامج الإضافي كل شيء في واحد WP أمان وجدار حماية
نوع الضعف XSS
رقم CVE CVE-2026-8438
الاستعجال واسطة
تاريخ نشر CVE 2026-06-09
رابط المصدر CVE-2026-8438

XSS مخزنة غير مصادق عليها في “كل شيء في واحد WP أمان وجدار حماية” (≤ 5.4.7) — ما يجب أن يعرفه مالكو المواقع وكيف يحميك WP-Firewall

مؤلف: فريق أمان جدار الحماية WP

تاريخ: 2026-06-09


ملاحظة: هذه المقالة مكتوبة بواسطة فريق أمان ووردبريس ذو خبرة عميقة في تشغيل WAFs، والاستجابة للحوادث، وتقوية مواقع ووردبريس. تشرح الثغرة الأمنية المخزنة غير المصادق عليها التي تم الكشف عنها مؤخرًا (XSS) (CVE-2026-8438) الموجودة في مكون "كل شيء في واحد WP أمان وجدار حماية" (≤ 5.4.7)، وتوفر إرشادات عملية للتخفيف، والكشف، والاستجابة التي يمكنك تنفيذها على الفور — سواء كنت تستخدم WP-Firewall أم لا.


TL;DR — الأساسيات

  • ماذا حدث: أثرت ثغرة XSS المخزنة غير المصادق عليها (CVE-2026-8438) على إصدارات مكون "كل شيء في واحد WP أمان وجدار حماية" حتى 5.4.7.
  • مخاطرة: CVSS 7.1 (متوسط)؛ هذه ثغرة XSS مخزنة يمكن استغلالها لتشغيل JavaScript عشوائي في سياق المستخدمين الذين يشاهدون المحتوى المدخل — غالبًا ما يكونون مدراء أو مستخدمين ذوي امتيازات أخرى. يتطلب الاستغلال تفاعل المستخدم (على سبيل المثال، نقر مشرف على رابط مصمم أو زيارة صفحة مصممة).
  • تصحيح: قم بترقية المكون إلى الإصدار 5.4.8 أو أحدث على الفور.
  • التخفيف على المدى القصير: إذا لم تتمكن من تصحيح الثغرة على الفور، قم بتطبيق تصحيح افتراضي / قواعد WAF، وقيّد الوصول إلى صفحات wp-admin / المكون عن طريق IP، أو قم بإلغاء تنشيط المكون مؤقتًا.
  • إجراء لجميع مالكي المواقع: تصحيح، تدقيق، فحص المحتوى المدخل، تدوير بيانات الاعتماد، وتمكين أدوات الحماية (WAF، الفحص).

لماذا تعتبر هذه الثغرة مهمة

XSS المخزنة هي واحدة من أخطر ثغرات الويب من جانب العميل. على عكس XSS المنعكسة، يتم الاحتفاظ بحمولة XSS المخزنة (في قاعدة بيانات أو تخزين) ثم تُقدم للعديد من المستخدمين. في سياق مكون ووردبريس، تعتبر XSS المخزنة في مكون يدير إعدادات الأمان أو جدار الحماية خطيرة بشكل خاص لأن:

  • من المحتمل أن يتم زيارة صفحات إدارة المكون من قبل مدراء المواقع ومديري المواقع — أهداف ذات قيمة عالية.
  • يمكن أن يؤدي التنفيذ الناجح لـ JavaScript عشوائي في متصفح المشرف إلى الاستيلاء الكامل على الموقع: يمكن للمهاجمين إنشاء منشورات، وتثبيت أبواب خلفية، وإنشاء مستخدمين إداريين، وتغيير الخيارات، أو استخراج بيانات الاعتماد وملفات تعريف الارتباط.
  • نظرًا لأن الثغرة غير مصادق عليها، يحتاج المهاجم فقط إلى تسليم محتوى الحمولة الذي سيتم عرضه لاحقًا لمستخدم ذي امتيازات؛ لا يحتاجون إلى تسجيل الدخول.

على الرغم من أن الإشعار المنشور يشير إلى أن تفاعل المستخدم مطلوب — مما يعني أن مستخدمًا ذا امتيازات يجب أن ينقر أو يزور عنوان URL مصمم — يمكن للمهاجمين في العالم الحقيقي تصميم سيناريوهات تجعل هذا محتملًا (رسائل بريد إلكتروني خبيثة، هندسة اجتماعية، روابط مشرف متخفية، أو صفحات داخلية مخترقة).


كيف يستغل المهاجمون هذا النوع من الثغرات (تدفق الهجوم)

  1. يقوم المهاجم بتصميم حمولة تحتوي على JavaScript خبيث. تهدف أمثلة الحمولة النموذجية إلى:
    • سرقة ملفات تعريف الارتباط / رموز الجلسة
    • تنفيذ إجراءات عبر طلبات مصادق عليها (على غرار CSRF) بمجرد أن ينفذ متصفح المشرف البرنامج النصي
    • إدخال برامج نصية إضافية أو أبواب خلفية في الموقع
  2. يجد المهاجم نقطة إدخال في الإضافة المعرضة للخطر حيث يتم تخزين المحتوى المقدم دون تنظيف/هروب كافٍ (مثل: حقول الإعدادات، السجلات، الملاحظات، أو الرسائل المخزنة).
  3. يقدم المهاجم الحمولة عبر تلك النقطة (تذكر: هذا غير مصادق عليه).
  4. لاحقًا، عندما يزور مسؤول أو مستخدم ذو امتيازات صفحة إدارة الإضافة (أو صفحة أخرى حيث يتم عرض المحتوى المخزن)، يتم تنفيذ البرنامج الضار في متصفحهم.
  5. مع تشغيل البرنامج في سياق المسؤول، يمكن للمهاجم:
    • إجراء طلبات مصادق عليها باستخدام جلسة المسؤول (إنشاء حسابات مسؤول، تحميل ثيمات/إضافات، تعديل المحتوى)
    • استخراج ملفات تعريف الارتباط للجلسة أو رموز التفويض
    • تنفيذ أوامر ضد واجهات برمجة التطبيقات الداخلية أو الأنظمة السفلية القابلة للوصول من متصفح المسؤول

يوضح هذا التدفق لماذا تعتبر الثغرات التي تتطلب “تفاعل المستخدم” لا تزال عالية المخاطر لمواقع ووردبريس: يتلقى المسؤولون روابط، رسائل بريد إلكتروني، ورسائل نظام؛ من السهل على المهاجمين خداع شخص ما لفتح عنوان URL مصمم خصيصًا للإدارة.


خطوات فورية لمالكي المواقع (إذا كنت تدير موقع ووردبريس)

  1. قم بترقية الإضافة إلى 5.4.8 أو أحدث على الفور.
    • استخدم لوحة تحكم ووردبريس الخاصة بك، أو قم بتشغيل تحديث مُدار من خلال عملية النشر الخاصة بك.
    • تأكد من أن التحديث قد اكتمل بنجاح وتحقق من سجل تغييرات الإضافة.
  2. إذا لم تتمكن من التصحيح على الفور:
    • قم بتعطيل الإضافة المعرضة للخطر مؤقتًا حتى تتمكن من التحديث.
    • قيد الوصول إلى wp-admin وصفحات إدارة الإضافات بواسطة IP (جدار حماية الخادم، .htaccess، أو لوحة تحكم استضافة الويب).
    • طبق تصحيحات افتراضية لجدار الحماية (انظر قواعد العينة أدناه).
    • حدد الوصول الإداري (قم بتعطيل الإدارة عن بُعد إذا كان ذلك ممكنًا).
  3. قم بتدقيق مؤشرات الاختراق:
    • ابحث في المشاركات، الخيارات، التعليقات، بيانات تعريف المستخدم، وجداول الإضافات المخصصة عن علامات البرنامج الضارة أو سمات on* المشبوهة.
    • قم بفحص الموقع باستخدام ماسح ضوئي شامل للبرامج الضارة (كلاهما قائم على الملفات وقائم على المحتوى).
    • تحقق من التغييرات الأخيرة على المستخدمين، الإضافات، الثيمات، وwp_options.
  4. تدوير بيانات الاعتماد:
    • فرض إعادة تعيين كلمات المرور لجميع حسابات المسؤولين وأي مستخدم قد يكون في خطر.
    • تدوير مفاتيح API وكلمات مرور التطبيقات وأي أسرار مخزنة يمكن الوصول إليها عبر الموقع.
  5. تحقق من السجلات:
    • مراجعة سجلات خادم الويب و WAF للبحث عن POSTs مشبوهة أو معلمات غير عادية حول الوقت الذي كان فيه المكون الإضافي عرضة للخطر.
    • البحث عن الطلبات إلى نقاط نهاية المكون الإضافي التي تحتوي على أقواس زاوية، “script”، “onerror”، “onload”، “eval(“, “document.cookie”، أو “base64”.
  6. تنظيف وإصلاح إذا تم العثور على اختراق:
    • عزل الموقع (وضع الصيانة، إيقاف التشغيل، أو تقييد IP).
    • عمل نسخة احتياطية من الموقع الحالي وقاعدة البيانات (لأغراض الطب الشرعي).
    • إزالة الحمولة المدخلة والملفات؛ استعادة النسخ النظيفة عند الضرورة.
    • إعادة الفحص والتحقق من السلامة.
    • بعد التنظيف، إعادة تمكين الخدمات والمراقبة.

فحوصات الكشف والاستعلامات (عملية، نسخ ولصق)

البحث في قاعدة البيانات عن الحمولة المحتملة المخزنة XSS (تشغيل هذه مع الامتيازات المناسبة والنسخ الاحتياطية). تبحث هذه الاستعلامات عن علامات البرنامج النصي أو سمات XSS الشائعة. تعيد الصفوف حيث يكون هذا المحتوى موجودًا.

البحث في wp_posts (محتوى المنشور)

SELECT ID, post_title, post_type;

البحث في wp_comments

SELECT comment_ID, comment_post_ID, comment_author, comment_date;

البحث في wp_options (غالبًا ما يتم تخزين إعدادات المكون الإضافي هنا)

SELECT option_id, option_name;

بحث عام في جميع الجداول (استخدم بحذر؛ أبطأ)

SELECT table_name, column_name.

فحص سريع باستخدام WP-CLI للعبارات المشبوهة:

wp search-replace '<script' '' --skip-columns=guid --all-tables --dry-run

(قم بتشغيل ما سبق في وضع التجربة أولاً لرؤية المطابقات. لا تقم بتشغيل تغييرات مدمرة حتى تؤكد.)

مؤشرات السجل التي يجب البحث عنها (خادم الويب/WAF):

  • طلبات POST إلى نقاط نهاية المكونات الإضافية تحمل حمولة تحتوي على “<script”، “onerror”، “onload”، “document.cookie”، “eval(“، “innerHTML”
  • Requests with long encoded payloads (e.g., %3Cscript%3E or base64 loads)
  • طلبات من عناوين IP جديدة/غير عادية تستهدف صفحات الإدارة

إذا كنت تستخدم جدار حماية لتطبيق الويب — ما يجب حظره الآن (تصحيح افتراضي)

يوفر WAF طريقة سريعة لتقليل التعرض قبل التصحيح. يعني التصحيح الافتراضي حظر أو تطبيع الطلبات الخبيثة دون تغيير كود التطبيق.

إليك أمثلة يمكنك تكييفها مع WAF الخاص بك (تم عرض بناء جملة مشابه لـ ModSecurity للتوضيح):

حظر الطلبات التي تحتوي على علامات سكريبت في الطلبات أو المعلمات:

SecRule ARGS|ARGS_NAMES|REQUEST_BODY "@rx (<script\b|document\.cookie|onerror=|onload=|eval\()" \n    "id:100001,phase:2,deny,log,auditlog,msg:'محاولة XSS مخزنة محتملة - حظر',severity:2"

حظر تسلسلات السكريبت المشفرة المشبوهة:

SecRule REQUEST_BODY "@rx (%3Cscript%3E|%3C%2Fscript%3E|%3Conerror%3D)" \n    "id:100002,phase:2,deny,log,msg:'Encoded XSS attempt blocked'"

تقييد نقاط نهاية المكونات الإضافية المحددة من المستخدمين المجهولين (تقييد الوصول غير الإداري):

# كود زائف لحظر طلبات POST إلى نقاط نهاية المكونات الإضافية الضعيفة من العملاء غير الموثقين:

تحديد معدل المكالمات المشبوهة:

# مثال: إذا كان هناك أكثر من N طلبات POST إلى نقاط نهاية المكونات الإضافية من نفس IP خلال T ثوانٍ -> حظر

مهم: تطابق وضبط بعناية لتجنب الإيجابيات الكاذبة. اختبر القواعد في وضع الكشف/التسجيل قبل الحظر الكامل. حافظ على قوائم الأمان لعناوين IP الموثوقة (المطورين، أنظمة CI).


مثال على تخفيف مؤقت على مستوى الخادم (إذا لم تتمكن من استخدام WAF)

تقييد الوصول إلى wp-admin وصفحات المكونات الإضافية حسب IP باستخدام تكوين خادم الويب.

نجينكس:

الموقع /wp-admin {

Apache (.htaccess):

<FilesMatch "^(wp-login\.php|admin-ajax\.php)$">
    Order deny,allow
    Deny from all
    Allow from 203.0.113.0/24
    Allow from 198.51.100.5
</FilesMatch>

إذا كانت عناوين IP الإدارية ديناميكية أو لديك فرق عن بُعد، يمكنك استخدام VPN موثوق أو قائمة بيضاء لعناوين IP عبر لوحة التحكم الخاصة بالاستضافة.


فحوصات ما بعد الاستغلال - ماذا تبحث عنه

إذا كنت تشك في وجود اختراق، تحقق من هذه الآليات الشائعة للاستمرارية التي يستخدمها المهاجمون بعد اختراق الإدارة المدفوع بـ XSS:

  • مستخدمون جدد في wp_users (الدور = ‘administrator’)
SELECT ID, user_login, user_email, user_registered
FROM wp_users
WHERE ID IN (
  SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%'
);
  • مهام مجدولة غير متوقعة (مدخلات cron)
  • ملفات تمت إضافتها إلى wp-content/uploads، wp-content/plugins، wp-content/themes مع PHP مشبوه
  • ملفات أساسية معدلة في wp-admin أو wp-includes (قارن مع نواة ووردبريس النظيفة)
  • PHP مشوش أو مشفر بـ base64 في ملفات الإضافات/القوالب (ابحث عن base64_decode، eval، gzinflate)

خطوات تعزيز الأمان لمنع مشاكل مماثلة

  1. حافظ على تحديث نواة ووردبريس، والقوالب، والإضافات. تصحيح الثغرات هو الدفاع الأساسي ضد المشكلات المعروفة.
  2. قلل من الإضافات المثبتة واحتفظ فقط بالإضافات التي يتم صيانتها بنشاط.
  3. استخدم فصل الأدوار: امنح المستخدمين فقط الحد الأدنى من القدرات التي يحتاجونها.
  4. استخدم جدار حماية تطبيق الويب وفحص المحتوى (ملف + محتوى) لمزيد من الحماية وتصحيح افتراضي سريع.
  5. فرض المصادقة متعددة العوامل (MFA) لجميع حسابات المسؤولين.
  6. قيد الوصول إلى الصفحات الحرجة (قائمة بيضاء لعناوين IP، إدارة عبر VPN فقط).
  7. النسخ الاحتياطية المنتظمة واختبار الاستعادة - النسخ الاحتياطية غير المتصلة وغير القابلة للتغيير هي أفضل الممارسات.
  8. راقب السجلات وقم بإعداد تنبيهات للأحداث المشبوهة (إنشاء مستخدم إداري جديد، تغييرات في الإضافات، إلخ).
  9. في بيئات الاختبار، اختبر التحديثات والتغييرات الأمنية قبل الدفع للإنتاج.

دليل استجابة الحوادث (خطوة بخطوة)

  1. تحتوي على:
    • إذا كان يُشتبه في استغلال نشط، قم بإيقاف الموقع أو تقييد وصول المسؤول.
    • ضع صفحة صيانة، أو قيد الوصول حسب عنوان IP.
  2. الحفاظ على الأدلة:
    • قم بالتقاط صورة احتياطية لنظام الملفات الحالي وقاعدة البيانات.
    • قم بتصدير السجلات (خادم الويب، WAF، قاعدة البيانات).
  3. تقييم:
    • حدد النطاق - أي المواقع أو المستخدمين أو البيانات متأثرة؟
    • ابحث عن علامات الاستمرارية (مستخدمون جدد، أبواب خلفية).
  4. القضاء على:
    • قم بإزالة المحتوى الضار.
    • استعد الملفات النظيفة من النسخ الاحتياطية الموثوقة.
    • أعد التثبيت من حزم الإضافات/الثيمات المعروفة بأنها جيدة.
  5. تعافى:
    • أعد تفعيل الخدمات.
    • تدوير بيانات الاعتماد والأسرار.
    • راقب لإعادة العدوى.
  6. بعد الحادث:
    • قم بإجراء تحليل لجذر المشكلة وتوثيقه.
    • طبق إصلاحات طويلة الأمد: تصحيح، قواعد WAF، تحسين العمليات.
    • تواصل مع أصحاب المصلحة وطبق الدروس المستفادة.

كيف يساعد WP-Firewall (من وجهة نظرنا)

بصفتنا بائع WAF يركز على WordPress، نعمل على طبقتين متكاملتين:

  1. الوقاية والتصحيح الافتراضي:
    • نقوم بنشر قواعد WAF مستهدفة لحظر أنماط الاستغلال المعروفة بسرعة - حتى قبل أن تتمكن من تصحيح الإضافة.
    • تبحث مجموعات قواعدنا عن الحمولة المستخدمة عادة في هجمات XSS المخزنة، الحمولة المشفرة وأنماط المعلمات الضارة.
    • نوفر القدرة على تحديد نطاق القواعد بشكل ضيق (إلى نقاط نهاية الإضافات الضعيفة) لتقليل الإيجابيات الكاذبة.
  2. الكشف، المراقبة والإصلاح:
    • المسح المستمر للمواقع للعثور على HTML/JS المحقونة أو الملفات المعدلة.
    • تنبيهات وبيانات عن بعد حتى يتمكن مالكو المواقع من التصرف بسرعة عند اكتشاف نشاط مشبوه.
    • إرشادات استجابة الحوادث وخدمات التنظيف المدارة الاختيارية.

إذا كنت تدير بيئة حيث من المحتمل حدوث توقف أو تأخير في التصحيح (سير العمل المعقدة للاختبار، موافقات الاستضافة المدارة، إلخ)، فإن التصحيح الافتراضي باستخدام WAF هو أحد أكثر التخفيفات المؤقتة فعالية.


الاختبار والتحقق بعد التصحيح أو التخفيف

  • تحقق من نجاح تحديث المكون الإضافي وتأكيد أن توقيتات/إصدارات ملفات المكون الإضافي تتطابق مع القيم المتوقعة.
  • أعد تشغيل عمليات فحص قاعدة البيانات الخاصة بك لعلامات النص البرمجي والسمات المشبوهة المذكورة أعلاه.
  • اختبر سير العمل الإداري للتأكد من عدم كسر الوظائف الشرعية.
  • تحقق من أن قواعد WAF لا تمنع النشاط الإداري العادي. إذا كانت تفعل ذلك، قم بضبط نطاق القاعدة أو إضافة استثناءات مستهدفة.
  • راقب السجلات لفترة من اليقظة المتزايدة (7-14 يومًا).

الأسئلة الشائعة

س: إذا كانت الثغرة غير مصادق عليها، فهل يعني ذلك أنه من المؤكد أن موقعي تعرض للهجوم؟

أ: ليس مضمونًا. غير المصادق عليه يعني فقط أن المهاجم لا يحتاج إلى بيانات اعتماد صالحة لتقديم بيانات إلى المدخل المعرض للخطر. لا يزال الاستغلال يتطلب عرض المحتوى الضار على مستخدم مميز أو زائر للموقع؛ ومع ذلك، نظرًا لأن العديد من المسؤولين يقومون بمراجعة لوحات التحكم الخاصة بهم بشكل متكرر، فإن احتمال الاستغلال يرتفع. اعتبره خطرًا مرتفعًا حتى يتم تصحيحه.

س: مزود الاستضافة الخاص بي يدير تحديثات المكونات الإضافية - ماذا يجب أن أفعل؟

أ: اتصل بمزود الاستضافة الخاص بك على الفور واطلب تحديث المكون الإضافي إلى 5.4.8 أو أعلى. إذا لم يتمكنوا من التصحيح بسرعة، اطلب منهم تطبيق تخفيفات على مستوى جدار الحماية أو عزل منطقة الإدارة.

س: هل تعطيل الإضافة يكفي؟

أ: نعم، تعطيل المكون الإضافي المعرض للخطر يزيل الوسيلة التي يظهر بها التطبيق المحتوى المخزن. ولكن إذا حدث اختراق بالفعل، فإن التعطيل لا يزيل الاستمرارية أو العناصر المدخلة. يجب عليك تدقيق وتنظيف إذا كان هناك اشتباه في الاختراق.


قائمة مرجعية - خطوة بخطوة للـ 24-72 ساعة القادمة

  • قم بترقية All In One WP Security & Firewall إلى 5.4.8+ أو قم بتعطيل المكون الإضافي.
  • إذا تأخرت الترقية، قم بتطبيق قيود IP على صفحات الإدارة والمكونات الإضافية.
  • إذا كنت تستخدم WAF، قم بتمكين قواعد التصحيح الافتراضي التي تمنع علامات النص البرمجي وحمولات النص البرمجي المشفرة.
  • قم بتشغيل فحوصات SQL و WP-CLI الموضحة أعلاه لتحديد الحمولات المخزنة.
  • قم بتدوير بيانات اعتماد المسؤول وAPI.
  • راجع سجلات خادم الويب و WAF للنشاط المشبوه.
  • إذا اكتشفت حادثة، اتبع دليل استجابة الحوادث.

قم بتأمين موقعك على الفور باستخدام WP-Firewall (خطة مجانية متاحة)

احمِ موقعك على الفور — جرب خطة WP-Firewall المجانية

إذا كنت ترغب في طبقة حماية فورية بدون تكلفة أثناء تصحيح الأخطاء والتدقيق، فإن WP-Firewall يقدم خطة أساسية (مجانية) تتضمن جدار حماية مُدار بشكل نشط، عرض نطاق غير محدود، حماية WAF الأساسية، ماسح للبرامج الضارة، وتخفيف لمخاطر OWASP Top 10. تساعد الخطة المجانية في حظر أنماط الاستغلال الشائعة وتمنحك الوقت لتحديث المكونات الإضافية بأمان. للحصول على دفاعات أكثر قوة (إزالة تلقائية للبرامج الضارة، حظر IP، تصحيح افتراضي وتقارير شهرية) نقدم مستويات مدفوعة مصممة للمواقع والوكالات المتنامية.

اشترك في الخطة المجانية هنا:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/


أفكار نهائية من منظور الممارس

الثغرات مثل CVE-2026-8438 تذكرنا بأنه لا يوجد موقف أمني مثالي إذا كنت تعتمد فقط على التصحيح. تشمل الدفاعات الفعالة عدة طبقات:

  • التصحيح في الوقت المناسب وأقل قدر من الشيفرة الموثوقة
  • وصول إداري مُراقب ومصادقة قوية
  • المراقبة، التسجيل والتنبيه
  • جدار حماية تطبيق الويب للتصحيح الافتراضي والاستجابة السريعة

إذا كنت تدير مواقع WordPress على نطاق واسع، اعتبر مخاطر المكونات الإضافية برنامجًا مستمرًا — قم بجرد المكونات الإضافية، اختبر التحديثات في بيئة الاختبار، قم بأتمتة فحوصات الأمان، واحتفظ بدليل حادثة جاهز.

إذا كنت بحاجة إلى مساعدة في تنفيذ قواعد WAF، أو فحص الحمولة المخزنة XSS، أو إجراء مراجعة جنائية بعد الحادث، فإن مهندسي الأمان لدينا لديهم خبرة في هذه الحالات ويمكنهم مساعدتك في احتواء الحادث، والتنظيف، والوقاية.

ابقَ آمنًا، كن عمليًا، وأعطِ الأولوية لكل من التصحيح والتخفيف السريع.

- فريق أمان WP-Firewall

المراجع والقراءات الإضافية


wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن
!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.