Kritisk XSS-sårbarhed i Shortcodes Blocks Creator//Udgivet den 2026-03-24//CVE-2024-12166

WP-FIREWALL SIKKERHEDSTEAM

Shortcodes Blocks Creator Ultimate Vulnerability

Plugin-navn Shortcodes Blocks Creator Ultimate
Type af sårbarhed XSS
CVE-nummer CVE-2024-12166
Hastighed Medium
CVE-udgivelsesdato 2026-03-24
Kilde-URL CVE-2024-12166

Hastere: Reflekteret XSS i ‘Shortcodes Blocks Creator Ultimate’ (<= 2.2.0) — Hvad WordPress-webstedsejere skal vide

Forfatter: WP-Firewall Sikkerhedsteam

Dato: 2026-03-24

Tags: WordPress, Sikkerhed, XSS, WAF, Sårbarhed, Plugin

En reflekteret Cross‑Site Scripting (XSS) sårbarhed (CVE‑2024‑12166) er blevet rapporteret i Shortcodes Blocks Creator Ultimate-pluginet (versioner <= 2.2.0). Dette indlæg forklarer risikoen, hvordan problemet fungerer på et teknisk niveau (uden at give udnyttelseskode), umiddelbare afbødninger, detektionstrin og langsigtede anbefalinger til hærdning. Hvis du kører WordPress, skal du behandle dette som høj prioritet for gennemgang og afbødning.

TL;DR

En reflekteret Cross‑Site Scripting (XSS) sårbarhed (CVE‑2024‑12166) påvirker Shortcodes Blocks Creator Ultimate versioner <= 2.2.0. Selvom den er klassificeret med en medium sværhedsgrad (CVSS 7.1), kan sårbarheden bruges i storskala udnyttelseskampagner, der målretter tusindvis af websteder. Sårbarheden udløses via side parameteren og kan udnyttes uden autentificering, selvom succesfulde angreb normalt kræver brugerinteraktion (for eksempel at klikke på et ondsindet link).

Hvis dit websted kører dette plugin:

  • Identificer straks, om pluginet er installeret, og hvilken version det har.
  • Hvis muligt, opdater pluginet, hvis leverandøren frigiver en rettet version. (På tidspunktet for skrivningen er der ingen leverandørpatch for <= 2.2.0.)
  • Hvis du ikke kan opdatere med det samme, anvend afbødninger: fjern eller deaktiver pluginet, begræns adgangen til plugin UI via IP eller autentificering, implementer en WAF-regel for at filtrere ondsindede nyttelaster, scan og overvåg for mistænkelig aktivitet, og gennemgå logfiler.
  • Overvej at anvende en administreret firewall-løsning (WP‑Firewall), som giver virtuel patching og automatisk blokerer mange angrebsforsøg, mens du udbedrer.

Denne artikel giver en teknisk, men ikke-udnyttende forklaring, detektions- og afbødningsvejledning samt anbefalinger til at hærdne dit WordPress-websted mod reflekteret XSS og lignende webapplikationsangreb.

Hvad er problemet?

Shortcodes Blocks Creator Ultimate (<= 2.2.0) indeholder en reflekteret Cross‑Site Scripting (XSS) fejl knyttet til, hvordan en side forespørgselsparameter håndteres og reflekteres tilbage i HTML-svar. En angriber kan udforme en URL, der inkluderer specielt udformet input inde i side parameteren. Hvis et offer — typisk en indlogget bruger eller en administrator, der besøger en udformet URL eller klikker på et link — indlæser den URL, kan det udformede indhold blive gengivet af offerets browser og behandlet som eksekverbar JavaScript. Dette kan føre til sessionsstjæling, privilegieoptrapning via CSRF-lignende flows, uautoriserede konfigurationsændringer, injiceret reklame eller omdirigeringer, eller indlæsning af yderligere ondsindede nyttelaster.

Nøglefakta

  • Berørt plugin: Shortcodes Blocks Creator Ultimate
  • Sårbare versioner: <= 2.2.0
  • Sårbarhedsklasse: Reflekteret Cross‑Site Scripting (XSS)
  • CVE: CVE‑2024‑12166
  • Krævet privilegium: Ingen (uautentificeret anmodning kan være vektoren), men brugerinteraktion er nødvendig (offeret skal besøge et udformet link)
  • CVSS: 7.1 (Medium)
  • Afbødning status: Ingen leverandørpatch tilgængelig for berørte versioner på tidspunktet for offentliggørelse

Hvorfor reflekteret XSS betyder noget for WordPress-sider

Reflekteret XSS er blandt de mest misbrugte web-sårbarheder. I en WordPress-kontekst:

  • WordPress driver millioner af sider med varierende sikkerhedsstatus. Mange administrator- og redaktionelle brugere har forhøjede rettigheder — en succesfuld XSS mod en administrator kan forårsage langt mere skade end mod en anonym besøgende.
  • Reflekteret XSS er godt egnet til masseudnyttelse: angribere kan sende phishing-e-mails eller injicere links i tredjepartswebsteder, der omdirigerer ofre til konstruerede URL'er. Selv mindre sider med lav trafik kan blive målrettet via social engineering.
  • Angribere kæder ofte XSS sammen med andre fejl (dårlig sessionbeskyttelse, svage CSRF-forsvar eller administratorfunktionalitet) for at skifte fra en reflekteret pop-up til vedvarende ændringer på siden eller ondsindede bagdøre.

Fordi sårbarheden kan udløses via et uautentificeret link og ikke kræver login for at levere den ondsindede payload til et offer, skal webstedsejere behandle dette som presserende.

Hvordan sårbarheden fungerer (højt niveau, ikke-udnyttende)

Vi vil forklare mekanikken uden at vise våbenbare payloads.

  1. Plugin'et læser en side parameter fra den indkommende HTTP-anmodning (GET).
  2. Værdien af denne parameter indsættes i HTML-svaret uden tilstrækkelig server-side validering eller output-kodning.
  3. Hvis værdien indeholder JavaScript-kontekst (for eksempel script-tags eller begivenhedshåndterere), vil browseren analysere og udføre det, når den gengiver svaret — det er den reflekterede XSS.
  4. Fordi parameterens værdi kun reflekteres i konteksten af et enkelt svar (ikke gemt vedvarende på siden), stoler en angriber typisk på social engineering for at overbevise en bruger om at klikke på den ondsindet sammensatte URL.

Hvorfor dette er farligt i praksis

  • Hvis en autentificeret administrator åbner det konstruerede link, kan angriberen forsøge at udføre JavaScript, der udfører handlinger i administratorgrænsefladen (ændre indstillinger, oprette en ny administratorkonto, installere et plugin osv.) eller stjæle cookies/session tokens og genbruge dem andre steder.
  • Selv hvis målet er en uautentificeret besøgende, kan en angriber bruge dette til at vise vildledende indhold, udføre phishing, indlæse ekstern malware eller udføre målrettede svindelnumre.

Umiddelbare handlinger for webstedsejere (inden for timer)

Hvis du kører WordPress, skal du tage denne sårbarhed alvorligt og følge de prioriterede trin nedenfor.

  1. Inventar og versionskontrol (øjeblikkelig)
    • Log ind på dit WordPress-dashboard og bekræft, om Shortcodes Blocks Creator Ultimate er installeret. Noter den installerede version.
    • Hvis du administrerer flere sider, skal du bruge dit administrationsværktøj til hurtigt at liste plugin-versioner på tværs af sider.
  2. Hvis du kører en sårbar version (<= 2.2.0)
    • Deaktiver eller fjern plugin'en, hvis du ikke har brug for dens funktionalitet hastigt.
    • Hvis plugin'en er essentiel, og der ikke er en patch tilgængelig, blokér adgangen til plugin'ens sider i adminområdet (begræns efter IP eller brug serverregler) indtil en patch er tilgængelig.
    • Hvis du ikke straks kan deaktivere plugin'en, placer regler på webapplikationsfirewall-niveau for at stoppe mistænkelige side parameter værdier (se WAF vejledning nedenfor).
  3. Anvend WAF / virtuel patching (anbefalet)
    • Udrul WAF-regler, der inspicerer og normaliserer side parameter og andre input. Blokér anmodninger, der indeholder almindelige XSS payload mønstre: script-tags, javascript: URI'er, mistænkelige kodede sekvenser og HTML-hændelsesattributter.
    • Hvis du bruger administrerede WAF/virtuelle patching-tjenester, aktiver beskyttelsesprofilen for denne plugin. Administrerede regler vil blokere mange automatiserede og manuelle udnyttelsesforsøg.
  4. Scann og overvåg for indikatorer
    • Kør en nylig malware-scanning på dine site-filer og database. Mange scannere er signatur- eller heuristikbaserede; kombiner flere værktøjer, hvis muligt.
    • Tjek adgangslogs og webserverlogs for mistænkelige anmodninger, der inkluderer side= med usædvanlige tegn eller lange kodede sekvenser. Se efter spidser i 400/500 fejl omkring mistænkelige mønstre.
    • Gennemgå WordPress-logs og eventuelle revisionslogs for uventede admin-login, brugeroprettelse eller ændringer i indstillinger.
  5. Underret interessenter og planlæg afhjælpning
    • Informer site-administratorer, redaktører og hostingudbydere om problemet og rådgiv dem om at undgå at klikke på uventede links, der inkluderer side= parametre fra ukendte kilder.
    • Hvis sitet administreres af et bureau eller host, koordiner om en afhjælpnings-tidslinje og om midlertidig afbødning (WAF-regler, plugin-fjernelse) vil blive anvendt.

Foreslåede WAF-regler (sikre, ikke-specifikke)

Nedenfor er typer af regler at overveje. Undgå at blokere legitim trafik indiscriminately — juster regler og overvåg for falske positiver.

  • Blokér eller saniter anmodninger, hvor side parameter indeholder:
    • <script eller </script> strenge (case‑insensitive)
    • Kodede ækvivalenter af < og > plus script kontekst (f.eks. procent‑kodede eller HTML enheds kodede sekvenser, der dekoder til . eller en fejl=)
    • javascript: URIs eller mistænkelige URL protokoller i parametre
    • HTML begivenhedshåndterere såsom onload=, onclick=, en fejl=osv.
  • Normaliser input først: afvis ikke‑UTF‑8 kodning eller ikke tilladte tegnsekvenser.
  • Begræns hastigheden for gentagne anmodninger med usædvanlige payloads fra den samme IP.
  • For admin sider, begræns adgangen til kendte admin IP-områder eller kræv to‑faktor autentificering for admin adgang.

Hvis du har en administreret virtuel patching kapabilitet (WP‑Firewall leverer dette), aktiver regelsættet specifikt for plugin sårbarheden for at blokere kendte udnyttelsesmønstre, mens du arbejder på en permanent løsning.

Detektion: Hvad man skal se efter i logs og webstedets adfærd

Hvis du mistænker udnyttelse, udfør følgende kontroller.

  1. Webadgangslogs
    • Søg efter anmodninger til admin eller plugin endpoints med side= i forespørgselsstrengen, der indeholder <, >, script, en fejl, javascript:, eller mistænkelige kodede sekvenser.
    • Noter tidspunkter, IP-adresser, User‑Agents og referencer for mistænkelige anmodninger.
  2. WordPress bruger- og aktivitetslogs
    • Se efter uventede admin logins (især fra nye IP-adresser) omkring tidsstemplerne for mistænkelige side parameteranmodninger.
    • Tjek for nye brugere med administratorrettigheder, ændringer til eksisterende admin bruger-e-mails eller ændringer til plugin/theme filer.
  3. Filsystem og database
    • Scann filsystmet for nytilføjede PHP-filer i uploads eller plugin-mapper.
    • Søg databasen for uventet indhold i indstillinger, indlæg eller bruger-meta, der indeholder injicerede scripts.
  4. Indikatorer for kompromittering
    • Uventede omdirigeringer fra siden til eksterne domæner.
    • Popups eller tvungne dialoger i browseren, når du besøger siden (som ikke blev tilføjet med vilje).
    • Ændringer til .htaccess, index.php eller wp-config.php filer.

Hvis du finder beviser for kompromittering, isoler siden (tag den offline eller sæt den i vedligeholdelsestilstand), bevar logs til undersøgelse, og fortsæt med en fuld hændelsesrespons (se hændelsesrespons tjeklisten nedenfor).

Tjekliste for håndtering af hændelser (hvis du har mistanke om udnyttelse)

  1. Bevar beviser
    • Tag et disk snapshot og opbevar logs sikkert.
    • Eksporter webserver adgangslogs, WordPress debug logs og database backups.
  2. Karantæne
    • Sæt siden i vedligeholdelsestilstand og blokér offentlig adgang, mens du undersøger.
    • Hvis det er muligt, blokér mistænkelige IP'er på firewall-niveau.
  3. Rens og remedier
    • Fjern eller opdater den sårbare plugin.
    • Scann og fjern eventuelle web shells, backdoors eller ondsindet kode indsat i tema/plugin-filer.
    • Rotér alle admin adgangskoder og API-nøgler brugt af WordPress, FTP/SFTP, database og hosting kontrolpanel.
    • Tilbagetræk eventuelle kompromitterede legitimationsoplysninger og udsted nye, håndhæve stærke adgangskoder og 2FA.
  4. Gendan fra en ren backup (hvis nødvendigt)
    • Hvis sidens integritet er usikker, gendan fra en kendt ren backup taget før kompromitteringen.
    • Anvend den lærte lektie: styrk den gendannede side, sørg for at plugins er opdaterede eller fjernet, og aktiver en WAF.
  5. Efter hændelsen
    • Udfør en omfattende sårbarhedsscanning på tværs af alle plugins og temaer.
    • Aktiver kontinuerlig overvågning og alarmer for at opdage lignende forsøg fremadrettet.

Hærdning og langsigtede afbødninger

Reflekterede XSS-sårbarheder løses på kode-niveau ved korrekt validering og undslipning af output. Som ejer af siden har du også defensive muligheder:

  • Mindste privilegium for administratorer
    • Begræns antallet af admin-konti og giv kun admin-rettigheder til nødvendigt personale.
    • Brug unikke konti til redaktører og forfattere; undgå at bruge de samme legitimationsoplysninger på tværs af flere systemer.
  • Stærk autentificering
    • Hæv to-faktor autentificering (2FA) for alle admin-konti.
    • Fjern standardkonti og kræv stærke adgangskoder.
  • Regelmæssig patching og lagerstyring
    • Hold en aktuel opgørelse over installerede plugins og temaer og deres versioner.
    • Patch plugins og temaer, så snart leverandøropdateringer er tilgængelige.
    • Hvis en plugin-forfatter ikke reagerer, og plugin'et er kritisk, overvej at erstatte det med et aktivt vedligeholdt alternativ.
  • Indholdssikkerhedspolitik (CSP)
    • Implementer en CSP for at reducere virkningen af XSS ved at begrænse kilderne til scripts og forbyde inline scripts, hvor det er praktisk. CSP er et effektivt forsvar i andet lag, men skal planlægges og testes omhyggeligt for at undgå at bryde webstedets funktionalitet.
  • Serverhærder og mindst privilegium for tjenester
    • Begræns filskrivningsrettigheder og sørg for, at PHP-filuploads kontrolleres omhyggeligt.
    • Brug separate legitimationsoplysninger til databasen og WordPress admin.
  • Applikationslag WAF
    • Vedligehold en WAF med opmærksomme regelopdateringer. Virtuel patching holder websteder beskyttet, mens du venter på leverandørrettelser.

Ansvarlig offentliggørelse og leverandørkoordination

Når en sårbarhed som denne rapporteres, er ansvarlig offentliggørelse bedste praksis:

  • Rapportér problemet til plugin-forfatteren med klare reproduktionstrin og en tidslinje for offentliggørelse.
  • Hvis der ikke kommer en rettidig patch, offentliggør en rådgivning, der advarer webstedsejere om problemet og giver vejledning til afbødning (som vi gør her).
  • Del en CVE til sporing (dette problem har CVE-2024-12166).
  • Opfordr plugin-vedligeholdere til at implementere sikker inputhåndtering: valider input, brug WordPress-escape-funktioner (esc_html, esc_attr, esc_url) og anvend nonces til handlinger, der ændrer tilstand.

Som en sikkerhedsleverandør og administreret WAF-udbyder støtter vi koordineret offentliggørelse og tilbyder virtuel patching, indtil officielle rettelser er tilgængelige.

Hvorfor du ikke bør ignorere medium-vurderede sårbarheder

CVSS-scoren er en nyttig måleenhed, men konteksten er vigtig. Denne reflekterede XSS er vurderet som medium, men:

  • Automatiserede scannere og exploit-kits målretter bredt kendte XSS-mønstre — hvilket muliggør masseudnyttelse selv på små sider.
  • Hvis en administrator eller redaktør bliver narret til at klikke på et konstrueret URL, kan en enkelt succes tillade vedvarende bagdøre eller privilegiumseskalering.
  • Angribere bruger ofte XSS til at drive malwaredistribution, SEO-spam eller til at eskalere til fuld kompromittering af siden.

Derfor skal du behandle denne sårbarhed som høj prioritet for gennemgang og afhjælpning på alle berørte sider.

Hvordan WP-Firewall hjælper (hvad vi gør)

Vi er en WordPress-firewall og sikkerhedsudbyder. Vores lagdelte tilgang er designet til at reducere eksponeringsvinduet, mens du implementerer permanente løsninger:

  • Virtuel patching — Vi opretter og distribuerer målrettede WAF-regler, der blokerer mønstre, der bruges i rapporterede exploits (for eksempel ondsindede værdier inde i side parametre og lignende reflekterede inputpunkter). Disse regler anvendes centralt og kræver ikke ændring af site-kode.
  • Administrerede firewall-politikker — Vores standard regelsæt inkluderer beskyttelse mod almindelige XSS-teknikker, OWASP Top 10-trusler og mistænkelig inputnormalisering, der reducerer falske positiver.
  • Automatiseret overvågning & alarmer — Vi overvåger kontinuerligt blokerede hændelser og mistænkelige trafikmønstre og leverer handlingsbare logfiler, så du kan træffe rettidige afhjælpningsbeslutninger.
  • Malware-scanning — Vi scanner sitefiler og databaser for at finde mulige ondsindede artefakter, der ofte er forbundet med post-exploit aktivitet.
  • Hændelsessupport — Vores team hjælper med at triagere mistænkte kompromitteringer og giver vejledning til afhjælpning.

Hvis du leder efter et øjeblikkeligt beskyttelseslag for at reducere eksponeringen, mens du afhjælper, køber virtuel patching (WAF) kritisk tid — og hvis du bruger vores gratis plan, får du væsentlig beskyttelse uden omkostninger (detaljer nedenfor).

Detektionsforespørgsler og indikatorer for siteadministratorer

Brug følgende søgemønstre (juster til dit logformat) for at finde mistænkelige anmodninger. Disse er eksempler på, hvad du skal kigge efter — ikke exploit payloads.

  • Adgangslog-søgning for side= der indeholder < eller %3C (percent‑kodet <):
    • Forespørgsler hvor side indeholder <, script, en fejl, onload, eller javascript: (case‑insensitiv).
  • Tjek henvisere for at se, om eksterne domæner omdirigerer til dit site med side parametre.
  • Søg i WordPress revisionslogfiler for adminaktivitet, der er tidsmæssigt korreleret med mistænkelig side anmodninger.
  • Se efter uforklarlig oprettelse af adminbrugere, uventede plugin-installationer eller filændringer.

Hvis du er usikker på, hvordan du forespørger dine hostinglogfiler, bed din host om en kopi af webserverens adgangslogfiler, der dækker det relevante tidsvindue, og få dem til at filtrere ved hjælp af ovenstående mønstre.

Praktisk eksempel på sikre afbødningsskridt (gennemførligt af site-administratorer)

  1. Deaktiver plugin (Dashboard → Plugins → Deaktiver)
  2. Hvis plugin'et er nødvendigt, anvend en htaccess/nginx-regel for at nægte anmodninger med mistænkelige forespørgselsparametre til plugin-stien — eller blokér al direkte adgang til plugin-mappen undtagen for dine admin IP'er.
  3. Implementer en midlertidig WAF-regel for at rense eller blokere side parameter værdier, der indeholder mistænkelige tegn.
  4. Udfør en fuld malware-scanning af sitet og tjek for eventuelle overraskende ændringer i brugerkonti eller filer.
  5. Tving nulstilling af adminadgangskoder og tilbagekald sessioner for alle administratorer fra Brugere → Alle brugere → Sessioner (eller via et plugin, der administrerer sessioner).
  6. Hvis du vedligeholder flere sites, implementer de samme skridt på tværs af din flåde og overvåg for gentagne forsøg.

Ofte stillede spørgsmål

Q: Hvis plugin'et er deaktiveret, er mit site stadig i fare?
A: Generelt er risikoen fra denne specifikke sårbarhed reduceret, hvis plugin'et er helt fjernet. Men hvis plugin'et efterlod backend-artefakter, eller hvis sitet allerede var udnyttet, skal du stadig scanne for ondsindede filer eller ændringer.

Q: Hvor længe skal jeg holde en WAF-regel aktiv?
A: Indtil leverandøren frigiver en verificeret patch, og du har opdateret dit site. Hold den virtuelle patch aktiv som et ekstra forsvar, selv efter opdatering, i mindst en eller to udgivelsescykler for at sikre, at der ikke er nogen regressioner.

Q: Vil Content Security Policy (CSP) fuldstændigt afbøde XSS?
A: CSP kan betydeligt reducere virkningen af XSS, men kræver korrekt konfiguration. CSP er komplementær til kodefixer og WAF-beskyttelse.

Tilmeld dig WP‑Firewall (gratis plan) — Beskyt dit site, mens du udbedrer

Titel: Sikkerhed for dit site med det samme — Start med WP‑Firewall Basic (Gratis)

Hver minut tæller, når en sårbarhed er offentlig. WP‑Firewall Basic (Gratis) giver essentiel beskyttelse for at holde dit site sikkert, mens du venter på leverandørpatches eller implementerer langsigtede løsninger:

  • Essentiel beskyttelse: administreret firewall med virtuel patching, ubegribelig båndbredde, WAF-regler, en malware-scanner og dækning for OWASP Top 10-risici.
  • Ingen omkostninger — designet til siteejere, der ønsker øjeblikkelig grundlæggende beskyttelse.
  • Let at aktivere: tilmeld dig og anvend den gratis plan til en eller flere WordPress-sider på få minutter.

Kom i gang med WP‑Firewall Gratis Plan: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Hvis du ønsker automatiseret malwarefjernelse, whitelist/blacklist kontrol eller avanceret rapportering, overvej vores betalte niveauer, som tilføjer automatiseret oprydning, IP-kontrol og månedlig sikkerhedsrapportering.)

Afsluttende tanker — hvad skal man gøre nu

  1. Tjek dit site(s) for plugin og version straks.
  2. Hvis sårbar, fjern eller deaktiver plugin'et, indtil en leverandørpatch er tilgængelig, eller anvend WAF-afbødninger.
  3. Tænd for en administreret WAF/virtuel patching-service for at reducere eksponeringen, mens du udbedrer.
  4. Udfør en fuld sitekontrol: malware-scanning, brugerrevision, filintegritetskontrol og loggennemgang.
  5. Styrk dine admin-kontroller: 2FA, færre admin-konti og stærk adgangskodehåndhævelse.

Reflekteret XSS undervurderes ofte, indtil det udnyttes i en succesfuld kampagne. Som WordPress-sikkerhedsprofessionelle anbefaler vi proaktiv forsvar — lagdelte kontroller, rettidig patching og hurtig virtuel patching, hvor det er passende. Hvis du ønsker hjælp til at vurdere eksponering på tværs af flere sites eller ønsker hjælp til at implementere virtuelle patches, mens du forfølger permanente løsninger, er vores sikkerhedsteam tilgængeligt for at hjælpe.

— WP-Firewall Sikkerhedsteam

Referencer og yderligere læsning

Bemærk: Denne rådgivning undgår at offentliggøre udnyttelsespayloads. Hvis du er en sikkerhedsresearcher eller leverandør og har brug for tekniske detaljer til test i et kontrolleret miljø, kontakt et sikkerhedsteam eller din leverandørrepræsentant og følg ansvarlige offentliggørelsespraksisser.

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™