Kritisk XSS i Shortcodes Blocks Creator Plugin//Udgivet den 2026-03-26//CVE-2024-12166

WP-FIREWALL SIKKERHEDSTEAM

Shortcodes Blocks Creator Ultimate Vulnerability

Plugin-navn Shortcodes Blocks Creator Ultimate
Type af sårbarhed Cross-Site Scripting (XSS)
CVE-nummer CVE-2024-12166
Hastighed Medium
CVE-udgivelsesdato 2026-03-26
Kilde-URL CVE-2024-12166

Reflekteret XSS i “Shortcodes Blocks Creator Ultimate” (<= 2.2.0, CVE-2024-12166): Hvad WordPress-webstedsejere skal gøre nu

Dato: 24. marts 2026

En nyligt offentliggjort sårbarhed i WordPress-pluginet “Shortcodes Blocks Creator Ultimate” (versioner <= 2.2.0) — sporet som CVE-2024-12166 — er et reflekteret Cross-Site Scripting (XSS) problem, der kan udløses via side parameteren. Sårbarheden tillader en uautoriseret angriber at fremstille en URL, der, når den besøges af en privilegeret bruger eller en administrator, kan resultere i vilkårlig JavaScript-udførelse i konteksten af den pågældende brugers browsersession.

Som et WordPress-sikkerhedsteam hos WP-Firewall behandler vi reflekteret XSS i admin-facing plugins med høj hastighed. Denne rådgivning forklarer de tekniske detaljer, virkelige risikoscenarier, detektion og indikatorer for kompromittering, umiddelbare afbødninger, du kan anvende, og langsigtede bedste praksisser for udviklere. Vi dækker også, hvordan en administreret webapplikationsfirewall (WAF) og virtuel patching kan beskytte dig, mens pluginvedligeholderen frigiver en officiel løsning.

Note: denne rådgivning undgår udnyttelseskode. Målet er at informere webstedsejere og udviklere, så de kan reagere hurtigt og sikkert.

Resumé

  • Sårbarhed: Reflekteret Cross-Site Scripting (XSS) via side parameteren i Shortcodes Blocks Creator Ultimate-pluginet (<= 2.2.0).
  • CVE: CVE-2024-12166
  • Berørte versioner: version 2.2.0 og tidligere
  • Indvirkning: Vilkårlig JavaScript-udførelse i offerets browser efter brugerinteraktion (klik på et fremstillede link eller besøg en ondsindet side).
  • Krævet privilegium: ingen for angriberen til at fremstille URL; kræver en privilegeret bruger (typisk en administrator eller redaktør) til at interagere med det fremstillede link.
  • Alvorlighed: Medium / CVSS ~7.1 (betydelig på grund af potentiel administrativ indvirkning).
  • Umiddelbar anbefaling: anvend officiel patch, når den er tilgængelig ELLER anvend lagdelte afbødninger nu — deaktiver eller begræns pluginet, håndhæve bedste praksis for administratorer, styrk adgangen og implementer WAF/virtuelle patching-regler.

Hvad er reflekteret XSS, og hvorfor er det farligt her?

Reflekteret XSS opstår, når en applikation inkluderer usaniterede brugerleverede data i en svarside, hvilket får en browser til at udføre angriberleveret JavaScript. I modsætning til lagret XSS er den ondsindede payload ikke vedvarende gemt på webstedet — den “reflekteres” fra en anmodning og udføres, når en bruger besøger den fremstillede URL.

Dette specifikke problem er farligt af tre grunde:

  1. Pluginet udsætter funktionalitet, der er tilgængelig via admin-sider eller sider, hvor privilegerede brugere opererer. Hvis en administrator klikker på det ondsindede link, udføres scriptet i en kontekst, hvor højprivilegerede handlinger (pluginindstillinger, oprettelse af indlæg, brugerredigeringer) er mulige.
  2. Selv en kort JavaScript-udførelse kan være nok til at stjæle autentificeringscookies, udgive sig for administratorer, injicere bagdøre eller ændre kritiske webstedsindstillinger.
  3. Angrebet kan automatiseres i stor skala: angribere kan udforme URL'er og forsøge phishing-kampagner eller poste links for at narre administratorer til at besøge dem.

Sårbarheden kræver brugerinteraktion (den privilegerede bruger skal klikke eller besøge), men det er en realistisk vektor: en angriber kan sende en e-mail, poste en privat besked eller hoste en side, der lokker webstedsadministratoren til at følge linket.

Hvordan sårbarheden typisk fungerer (overordnet)

  • En angriber konstruerer en URL, der målretter en side i det sårbare plugin og injicerer ondsindet scriptkode (eller tegn) i side parameteren eller andre forespørgselsfelter.
  • Det sårbare plugin reflekterer den parameter tilbage i en HTML-side uden korrekt escaping eller sanitering.
  • Angriberen sender URL'en til en bruger med forhøjede rettigheder (administrator eller en anden privilegeret rolle).
  • Når brugeren åbner URL'en, kører angriberens JavaScript i brugerens browser under webstedets oprindelse (samme oprindelse), hvilket muliggør potentielle teknikker til overtagelse af konto: cookie-tyveri, CSRF-udløsning, credential-tyveri prompts, DOM-manipulation og API-opkald, der udnytter brugerens autentificerede session.
  • Angriberen kan derefter eskalere adgangen, oprette nye admin-konti, uploade ondsindede plugin-/tema-filer eller vedholde en bagdør.

Realistiske angrebsscenarier

  • Phishing til administratorer: En angriber sender en e-mail til webstedsejeren med et link, der ser ud til at være en legitim websted-URL. Hvis administratoren klikker, udføres den injicerede JavaScript.
  • Tredjepartswebsted lokker: Det ondsindede link offentliggøres på et forum eller postes privat til en teamchatkanal. Enhver privilegeret bruger, der klikker, bliver påvirket.
  • Cross-site angreb, der involverer et eksternt websted: En angriber indlejrer et udformet link i en tredjeparts side eller besked, som en administrator besøger, hvilket får den reflekterede XSS til at udføre.
  • Opfølgninger efter udførelse: Efter den indledende scriptudførelse kan angriberens kode kalde admin-only endpoints (via XHR/fetch) for at oprette nye konti, injicere ondsindede muligheder eller installere plugins/bagdøre — hvilket i sidste ende fører til kompromittering af webstedet.

Hvem er i fare?

  • Ethvert WordPress-websted, der bruger Shortcodes Blocks Creator Ultimate plugin version 2.2.0 eller tidligere.
  • Administratorer og andre privilegerede brugerkonti, hvis browser-sessioner kan narres til at besøge en ondsindet udformet URL.
  • Websteder med svag admin-sikkerhed (enkeltfaktor-login, genbrugte adgangskoder, ingen sessionshåndtering) er i højere risiko for vedvarende kompromittering efter initial XSS.

Detektion: hvad man skal se efter

Reflekteret XSS er midlertidig, så direkte beviser i webstedsfiler mangler ofte. Se efter indirekte indikatorer:

  1. Usædvanlig loginaktivitet eller nye administrator-konti oprettet efter mistænkelige klik.
  2. Uventede ændringer i plugin-/temaindstillinger, indlæg eller sider.
  3. Udbundne HTTP-anmodninger fra din server til ukendte IP-adresser (tegn på bagdør eller eksfiltrering).
  4. Filer ændret med uventede tidsstempler (nye PHP-filer, droppede bagdøre).
  5. Mistænkelige planlagte opgaver (cron hooks), som du ikke har oprettet.
  6. Webserverlogfiler, der viser anmodninger, der indeholder usædvanlige forespørgselsstrenge (især side= med kodede tegn som %3C, %3E, javascript:, eller attributter som en fejl=).
  7. Advarsler fra malware-scannere, der indikerer usædvanlig JavaScript eller obfuskeret kode injiceret i sider.
  8. Browserkonsolfejl eller uventede inline-scripts, når administratorer indlæser bestemte plugin-sider.

Hvis du har mistanke om, at en kompromitteret administrator har klikket på et ondsindet link, skal du straks tjekke for de ovenstående tegn og fortsætte med hændelsesrespons.

Øjeblikkelige afbødningsforanstaltninger (webstedsejer-operator tjekliste)

Hvis du driver et websted, der bruger det berørte plugin, skal du tage disse skridt lige nu:

  1. Tjek plugin-version:
    • Hvis du er på en fast version (et plugin-opdatering er udgivet), skal du straks opdatere pluginet.
    • Hvis der endnu ikke er nogen patch tilgængelig, skal du fortsætte med afbødningerne nedenfor.
  2. Begræns adgang til plugin-sider:
    • Begræns adgangen til pluginets admin-sider efter IP eller efter rolle. Brug .htaccess, webserverregler eller et plugin, der begrænser admin-adgang.
    • Implementer to-faktor autentificering (2FA) for alle admin-brugere.
  3. Hærd admin-konti:
    • Skift administratoradgangskoder straks og håndhæve unikke stærke adgangskoder.
    • Log ud af alle aktive sessioner (WordPress → Brugere → Rediger profil → Sessioner) eller brug et plugin til at tvinge log ud overalt.
    • Fjern ubrugte admin-konti.
  4. Deaktiver eller midlertidigt deaktiver det sårbare plugin:
    • Hvis plugin'et ikke er essentielt, deaktiver eller afinstaller det, indtil en sikker version er tilgængelig.
    • Hvis deaktivering ikke er muligt (webstedets funktionalitet afhænger af det), blokér de specifikke plugin-administrationssider ved hjælp af adgangskontrolregler (IP-whitelisting i administrationsområdet eller blokering af specifikke slutpunkter).
  5. Scan og rengør:
    • Kør en fuld malware-scanning på dit websted og hostingkonto.
    • Tjek filintegritet for ændrede eller mistænkelige filer i wp-content, wp-includes og roden.
    • Gendan fra en kendt god backup, hvis du opdager ondsindede filer, som du ikke kan rense sikkert.
  6. Tilbagetrækning & hemmeligheder:
    • Drej API-nøgler, hemmeligheder og ændre adgangskoder for enhver tjeneste, der måtte være blevet eksponeret.
    • Overvej at tilbagekalde og genudstede eventuelle tokens, der bruges til webstedets automatisering.
  7. Overvåg logfiler:
    • Hold tæt øje med webserverlogfiler for mistænkelige anmodninger med usædvanlige forespørgselsparametre eller brugeragenter.
    • Overvåg oprettelse af nye administrator-konti og plugin-installationer.
  8. Underret interessenter:
    • Informer dit team og hostingudbyder, hvis du opdager kompromittering. Hvis du har kundedata i fare, skal du følge eventuelle juridiske eller reguleringsmæssige underretningskrav.

WAF og virtuel patching — beskyttelse mens du venter på en officiel patch

Hvis en officiel plugin-opdatering endnu ikke er tilgængelig, er den hurtigste og mindst forstyrrende måde at reducere risikoen på at anvende virtuel patching med en WAF. En administreret WAF kan blokere udnyttelsesforsøg, før de når sårbar kode.

Anbefalede WAF-handlinger (eksempler og sikre mønstre, du kan bruge til at udforme regler):

  • Blokér mistænkelige tegn og nøgleord i side parameteren (eller enhver forespørgselsstreng) for anmodninger, der retter sig mod plugin-administrationsslutpunkterne.
  • Blokér almindelige XSS payload-mønstre, såsom script-tags (.) og JavaScript-URI'er, hændelseshåndterere (en fejl=, onload=), eller kodede ækvivalenter.
  • Anvend målrettede regler kun for anmodninger, der matcher plugin-stier for at undgå falske positiver.

Eksempel på pseudo-regel (ModSecurity-lignende pseudo-syntaks; tilpas til din WAF-grænseflade):

Bemærk: Kopier ikke udnyttelsesbelastninger ind i logs eller regler. Brug mønstre, der matcher markører for XSS-forsøg.

# Pseudo-rule: Block requests with script-like patterns to plugin admin pages
If REQUEST_URI contains "/wp-admin/admin.php" AND
   REQUEST_ARGS["page"] matches "(%3C|<).*script.*(%3E|>)|javascript:|onerror=|onload="
Then BLOCK and LOG the request

En anden tilgang er at styrke tilladte tegn:

# Pseudo-regel: Tillad kun sikre tegn for sideparameteren på plugin-endepunkter

Hvis du bruger en administreret WAF-tjeneste, skal du indsende en billet for at få en tilpasset virtuel patch (en målrettet regel) implementeret for dit site for at blokere angrebsvektoren, mens du følger andre afhjælpningstrin. Denne tilgang reducerer risikoen straks uden at ændre plugin-koden.

Sikker udviklervejledning (til plugin-forfattere og vedligeholdere)

Hvis du udvikler WordPress-plugins eller er ansvarlig for dette specifikke plugin, er disse udviklerfokuserede anbefalinger essentielle:

  1. Rens og undgå alle brugerleverede input:
    • Brug WordPress-rensningsfunktioner såsom sanitize_text_field(), esc_attr(), esc_html(), esc_url(), og wp_kses() hvor det er passende.
    • Giv aldrig ikke-escaped data direkte ind i HTML.
  2. Brug korrekt output-kontekst-escaping:
    • esc_html() for HTML-kropindhold.
    • esc_attr() for attributkontekster.
    • esc_url_raw() / esc_url() for URIs.
    • Bruge wp_kses_post() eller wp_kses() når delvis HTML er tilladt (og definer tilladte tags).
  3. Brug nonces og kapabilitetskontroller:
    • Valider nuværende_bruger_kan() for admin-handlinger.
    • Bruge wp_verify_nonce() for POST-handlinger og admin-formularindsendelser.
  4. Undgå at reflektere rå forespørgselsparametre ind i administrationssider:
    • Hvis du skal reflektere parametre for navigation eller tilstand, så sanitér dem og brug hvidlister for forventede værdier.
    • Konverter input til tokens, eller kortlæg forespørgselsværdier til kendte sikre etiketter før output.
  5. Server-side validering:
    • Valider på server-siden, ikke kun klient-siden. Stol aldrig kun på JavaScript til validering.
  6. Sikkerhedstest:
    • Inkluder automatiseret statisk analyse og dynamiske tests med fokus på injektion og XSS.
    • Tilføj enhedstest, der bekræfter forventet escaping for alle output-stier.
  7. Svaroverskrifter:
    • Returner sikre overskrifter som Content-Security-Policy (CSP), der begrænser inline script udførelse og reducerer XSS risiko.
    • Tilføj HttpOnly til cookies, hvor det er muligt for at reducere tyveri via klient-side scripts.
  8. Hurtige patch-udgivelser:
    • Når en sårbarhed rapporteres, valider og offentliggør en patch hurtigt og gennemsigtigt, inklusive anbefalede opgraderingstrin for webstedsejere.

For hostingudbydere og bureauer

  • Push en global afbødning via host-niveau WAF for alle kunder, der bruger den sårbare plugin.
  • Tilbyd midlertidigt at begrænse eller deaktivere plugin for kunder, der ikke kan opdatere.
  • Giv klare retningslinjer og en afhjælpningscheckliste til kunder (adgangskode rotation, scanning, admin kontrol).
  • Støt hændelsesrespons og retsmedicinsk analyse for kunder, der muligvis er blevet kompromitteret.

Indikatorer for kompromittering (IoCs) at jage efter

  • Weblog poster med anmodninger til /wp-admin/admin.php eller andre admin-endepunkter, der indeholder side= med kodede <, >, javascript:, en fejl=, onload=, eller andre begivenhedshåndterer tokens.
  • Nye eller ændrede admin-brugere oprettet kort efter en mistænkelig logpost.
  • Ændringer i plugin-/tema-filer med tidsstempler, der matcher mistænkelig aktivitet.
  • Uønskede planlagte begivenheder (wp-cron), der kalder ukendte funktioner.
  • Ændrede indstillinger i wp_options tabellen (se efter uventede værdier eller serialiserede data).
  • Uventede installationer af plugins eller temaer i samme tidsramme.

Hvis du finder nogen af disse, antag muligheden for en dybere kompromittering og overvej professionel hændelsesrespons.

Gendannelse og oprydning, hvis du blev kompromitteret

  1. Tag siden offline for at begrænse skaden, hvis der er klare beviser for kompromittering.
  2. Bevar logs og snapshots til analyse.
  3. Geninstaller WordPress-kernfiler fra betroede kilder.
  4. Erstat plugins og temaer med rene kopier eller gendan fra en backup før kompromittering.
  5. Rens eller erstat modificerede PHP-filer; fjern ukendte PHP-filer eller scripts.
  6. Rotér alle adgangskoder (admin, FTP, hostingpanel, database) og API-nøgler.
  7. Udsted eventuelle eksponerede tokens og hemmeligheder på ny.
  8. Gen-scann siden efter oprydning for at sikre, at der ikke er tilbageholdte bagdøre.
  9. Gennemgå serverprocesser og cron-jobs.
  10. Overvej at gendanne fra en ren backup og anvende de ovenstående afbødninger, før du genopretter forbindelsen til internettet.

Hvorfor en lagdelt tilgang er essentiel

  • At patching pluginet er den rigtige langsigtede løsning, men en officiel opdatering kan tage tid.
  • Deaktivering af pluginet fjerner angrebsoverfladen, men kan bryde webstedets funktionalitet.
  • WAF/virtuel patching er hurtig og effektiv til at blokere angrebsmønstre, men er ikke en erstatning for korrekte server-side rettelser.
  • Stærk admin-sikkerhed (2FA, sessionshåndtering) reducerer sandsynligheden for privilegiumseskalering efter en vellykket reflekteret XSS-udførelse.
  • Overvågnings- og hændelsesresponskapaciteter hjælper dig med at opdage og genoprette hurtigt.

Kombinationen af disse lag — hurtig patching, WAF-beskyttelser, admin-hærdning, kontinuerlig overvågning og sikre udviklingspraksisser — giver den bedste beskyttelse.

Eksempel på WAF-regelmønstre (kopier ikke payloads)

Nedenfor er sikre, generiske regelideer til at hjælpe dit sikkerhedsteam med at konfigurere blokering uden at risikere falske positiver. Tilpas dem til dit miljø og test grundigt.

  • Bloker anmodninger, der retter sig mod plugin-admin-endepunkter, som inkluderer vinkelparenteser eller almindelige XSS-tokens i forespørgselsstrenge.
  • Udfordring (CAPTCHA) eller præsenter en interstitial for enhver anmodning til wp-admin-stier, der indeholder mistænkelige kodede tegn.
  • Ratebegræns eller blokér gentagne anmodninger, der undersøger plugin-endepunkter med usædvanlige parameterkodninger.
  • Udrul en brugerdefineret regel, der inspicerer side parameteren for tegn uden for en forventet whitelist (bogstaver, tal, bindestreger, understregninger).

Testning og staging er essentielle, før aggressive regler anvendes i produktion. Overvåg altid for falske positiver (legitime anmodninger, der bliver blokeret).

Praktisk tjekliste for webstedsejere (kopier-og-indsæt tjekliste)

  • Bekræft plugin-version. Hvis opdatering er tilgængelig, opdater til den patchede version.
  • Hvis der endnu ikke er nogen patch, deaktiver plugin'et, hvis det er muligt.
  • Tving logout af alle admin-sessioner og roter admin-adgangskoder.
  • Aktiver 2FA for alle admin-brugere.
  • Anvend WAF-regel(r) for at blokere mistænkelige side parameter-værdier for plugin-admin-endepunkter.
  • Scann webstedet for malware og tjek filintegritet.
  • Begræns adgangen til wp-admin via IP-allowlist, hvor det er muligt.
  • Tjek for nye admin-brugere og uventede planlagte opgaver.
  • Tag backup af webstedet nu (efter oprydning) og dokumenter hændelsestrinene.
  • Tilmeld dig pålidelige sikkerhedsfeeds for opdateringer om patchede udgivelser.

Hvordan WP-Firewall hjælper (vores tilgang)

Hos WP-Firewall anbefaler vi et praktisk, lagdelt svar på problemer som CVE-2024-12166:

  • Administreret WAF og virtuel patching: vores ingeniører kan implementere målrettede regler, der blokerer de kendte udnyttelsesmønstre for denne reflekterede XSS, mens du venter på en officiel plugin-opdatering. Dette reducerer risikoen uden at skulle ændre webstedets kode.
  • Malware-scanning og oprydning: planlagte scanninger opdager indikatorer for kompromittering tidligt. Hvis du mistænker en kompromittering, kan vores team hjælpe med oprydning eller give vejledning til at gendanne fra rene sikkerhedskopier.
  • Admin-hærdningsværktøjer: vi hjælper med at håndhæve to-faktor autentificering, låsepolitikker og sessionshåndtering for at gøre det sværere for angribere at bruge en XSS-udførelse til at opnå kontoovertagelse.
  • Overvågning og alarmer: vi holder øje med mistænkelige anmodningsmønstre og underretter dig hurtigt, når et potentielt angreb forsøges, så du kan tage handling.
  • Sikkerhedsrådgivning: handlingsorienterede tjeklister og individuel support for at hjælpe agenturer og webstedsejere med at reagere hurtigt og begrænse skader.

At bruge en administreret WAF i kombination med de andre anbefalinger ovenfor giver den hurtigste praktiske reduktion af risikoen for reflekterede XSS-problemer.

Ny: Start med WP-Firewalls gratis plan i dag

Titel: Beskyt din WordPress-admin fra det første klik — Start med et gratis lag af forsvar

Vi forstår, at tid og ressourcer varierer mellem websteder. Hvis du leder efter øjeblikkelig beskyttelse, du kan aktivere i dag, så prøv WP-Firewalls gratis Basisplan. Den giver dig essentielle forsvar for at reducere eksponeringen for reflekteret XSS og andre almindelige angrebstyper:

  • Essentiel beskyttelse: administreret firewall, der blokerer almindelige angrebsmønstre.
  • Ubegribelig båndbredde gennem firewall-laget.
  • Web Application Firewall (WAF) regler for at mindske OWASP Top 10 risici.
  • Malware-scanner, der hjælper med at opdage injicerede scripts og bagdøre.

Du kan tilmelde dig den gratis plan her: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hvis du har brug for hurtigere, automatiseret oprydning og mere granulære kontroller, tilføjer vores Standard- og Pro-planer automatisk malwarefjernelse, IP-blacklisting, virtuelle patching-funktioner, månedlige sikkerhedsrapporter og premium administrerede tjenester.

Langsigtede anbefalinger til WordPress-webstedsejere og udviklere

  1. Hold plugins og temaer opdateret. Sæt op for staged updates eller patch tests, så du kan skubbe opdateringer sikkert.
  2. Installer kun plugins fra pålidelige kilder og fjern ubrugte plugins/temaer.
  3. Håndhæv princippet om mindst privilegium for brugerroller og minimer admin-brugere.
  4. Vedtag en WAF og automatiseret scanning som en del af rutinemæssig vedligeholdelse.
  5. Udfør regelmæssige sikkerhedskopier og test gendannelser.
  6. Uddan administratorer og redaktører om phishing-risici — reflekteret XSS kræver typisk brugerinteraktion som at klikke på et link. Bevidsthed reducerer succesrater.
  7. Opfordr plugin-forfattere til at vedtage sikre kodningschecklister og automatiserede sikkerhedstest.

Afsluttende ord — hastighed og balance

Reflekterede XSS-sårbarheder som CVE-2024-12166 er almindelige, men stadig påvirkende, fordi de udnytter menneskelig adfærd. Vejen til kompromis kræver typisk en kombination af teknisk sårbarhed og en brugerhandling (klik på et udformet link), hvilket betyder, at vi skal forsvare både koden og de mennesker, der bruger den.

Umiddelbare handlinger, du bør prioritere:

  • Opdater pluginet, hvis en patch er tilgængelig.
  • Hvis ikke tilgængelig, blokér angrebsoverfladen (deaktiver plugin, begræns adgang) og implementer WAF/virtuelle patches for at stoppe udnyttelsesmønstre.
  • Hærd admin-konti og overvåg logs for tegn på kompromis.
  • Hvis kompromis mistænkes, følg tjeklisten for hændelsesgenopretning og overvej professionel retsmedicinsk hjælp.

Vi anerkender, at sikkerhedsbeslutninger skal balancere tilgængelighed og risiko. Hvis du har brug for hjælp til at anvende afbødninger eller ønsker en second opinion om den rigtige tilgang til dit site, er WP-Firewalls team klar til at hjælpe.

Hold dig sikker, hold plugins opdateret, og tøv ikke med at anvende lagdelte kontroller, mens du venter på udviklerpatches.

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™