Survey Plugin Cross Site Scripting Advisory//Udgivet den 2026-03-23//CVE-2026-1247

WP-FIREWALL SIKKERHEDSTEAM

WordPress Survey Plugin Vulnerability

Plugin-navn WordPress undersøgelsesplugin
Type af sårbarhed Cross-Site Scripting
CVE-nummer CVE-2026-1247
Hastighed Lav
CVE-udgivelsesdato 2026-03-23
Kilde-URL CVE-2026-1247

Authentificeret administrator gemt XSS i ‘Survey’ plugin (≤1.1) — Risiko, opdagelse og praktiske afbødninger for WordPress-websteder

Forfatter: WP-Firewall Sikkerhedsteam
Dato: 2026-03-23
Kategorier: WordPress-sikkerhed, sårbarheder
Tags: XSS, WAF, plugin-sikkerhed, hårdføring

TL;DR — Hvad skete der?

En gemt Cross-Site Scripting (XSS) sårbarhed blev offentliggjort for WordPress-pluginet “Survey” i versioner op til og med 1.1 (CVE‑2026‑1247). Sårbarheden tillader en autentificeret administrator at gemme ondsindede script-payloads i plugin-indstillinger, der senere kan udføres i konteksten af privilegerede brugere eller besøgende. Problemet har fået tildelt en CVSS-score på 5.9 og er klassificeret som gemt XSS (OWASP A3: Injection). På tidspunktet for offentliggørelsen var der ingen officiel leverandørpatch tilgængelig.

Denne advisering forklarer truslen på almindeligt sprog, gennemgår sandsynlige angrebsscenarier, viser hvordan du kan opdage, om dit websted er påvirket, og giver trin-for-trin afbødninger, du kan anvende lige nu — inklusive en virtuel patching-tilgang ved hjælp af WP‑Firewall.

Hvorfor dette er vigtigt (selv med en “moderat” alvorlighed)

Ved første øjekast kan en CVSS 5.9 synes “kun” moderat. Men gemt XSS i plugin-indstillinger har to egenskaber, der gør det vigtigt:

  • Det forbliver i din database og kan udløse gentagne gange, indtil det fjernes eller renses.
  • Det retter sig ofte mod administrative skærme eller områder, hvor forhøjede privilegier er til stede (fordi indstillinger typisk ses og redigeres af administratorer). Det betyder, at en angriber, der kan få scriptudførelse i en admin-kontekst, kan eskalere til meget større kompromiser (sessionstyveri, CSRF for at udføre admin-handlinger eller installation af bagdøre).

Selvom udnyttelse kræver en autentificeret administratorrolle for enten at introducere det ondsindede indhold eller interagere med en udformet URL (social engineering), stoler webangribere ofte på disse menneskelige faktorer. I praksis kan en social engineering phishing-e-mail eller en misbrugt lavprivilegeret admin-konto, der utilsigtet er blevet promoveret, være nok til en succesfuld kampagne. Fordi en gemt XSS-payload kan udføres i en højprivilegeret kontekst, er den potentielle skade betydelig, selvom den indledende barriere for udnyttelse er ikke-teknisk.

Hurtig anbefalingsoversigt (hvad man skal gøre først)

  1. Hvis du bruger Survey-plugin ≤ 1.1, skal du fjerne eller deaktivere det straks, medmindre du har verificeret en sikker patched version fra plugin-forfatteren.
  2. Hvis du ikke kan fjerne pluginet med det samme, skal du anvende virtuel patching med en Web Application Firewall (WAF) for at blokere payloads i plugin-indstillingssider og rense gemte værdier.
  3. Inspicer admin-indstillinger og WordPress-options-tabellen for uventet markup eller script-tags; sikkerhedskopier din database, før du foretager ændringer.
  4. Håndhæve admin-hårdføring: stærke adgangskoder, to-faktor autentificering (2FA), reducere antallet af administrator-konti og gennemgå brugerroller.
  5. Rotér alle admin-sessioner, API-nøgler og legitimationsoplysninger, hvis du mistænker nogen mistænkelig aktivitet.
  6. Overvåg logfiler, aktiver filintegritetskontroller, og kør en fuld malware-scanning.

Nedenfor uddyber vi hvert trin med konteksten, tekniske kontroller og praktiske eksempler.

Tekniske detaljer — hvad er en gemt XSS i pluginindstillinger?

Gemt XSS opstår, når brugerleverede data gemmes på serveren (for eksempel i wp_options, postmeta eller plugin-tilpassede tabeller) og senere gengives i HTML-sider uden korrekt escaping/encoding. I dette tilfælde accepterer det sårbare plugin konfigurationsværdier på sin indstillingsside og gemmer dem. Når disse værdier vises på en admin-side eller site frontend, indsættes de som rå HTML — hvilket muliggør indlejrede elementer, begivenhedshåndterere eller andre ondsindede konstruktioner til at udføre i offerets browser.

To vigtige tekniske bemærkninger:

  • Påkrævet privilegium: sårbarheden kræver en Administrator-rolle for den indledende gemning af ondsindet input (angriberen eller en kompromitteret admin-konto tilføjer payloaden).
  • Brugerinteraktion: vellykket udnyttelse kræver typisk, at den privilegerede bruger senere ser den berørte skærm eller klikker på et link, der udløser payloaden; social engineering er en almindelig vektor.

Fordi payloaden er vedholdende i databasen, kan den udløses gentagne gange og bruges i multi-trins angreb (for eksempel til at droppe en bagdør, oprette nye admin-brugere, eksfiltrere cookies eller ændre data).

Realistiske angrebsscenarier

  • Scenario A — Social engineering admin til at tilføje payload: En angriber sender en overbevisende e-mail til en siteadministrator med et link til pluginindstillingssiden og en forklaring om at “opdatere branding” eller lignende. Admin indsætter ekstern HTML eller kopi i et indstillingsfelt; det indhold gemmes og gengiver senere scripts, når admin eller en anden privilegeret bruger ser indstillingerne eller en relateret skærm.
  • Scenario B — Kompromitteret lavere niveau konto eskalerer til Administrator: En angriber kompromitterer en lavprivilegeret konto og bruger en urelateret sårbarhed eller forkert konfigureret rolleadministration til at hæve privilegierne til Administrator. Når de er admin, gemmer angriberen en vedholdende script payload og udløser den senere for at forblive aktiv på tværs af sessioner og brugere.
  • Scenario C — Kædede udnyttelser for vedholdenhed: En angriber injicerer en gemt payload, der automatisk opretter en ny admin-bruger eller dropper en stealth bagdør (ved hjælp af browser-side handlinger udført i en eksisterende admin-session), hvilket gør genopretning meget sværere.

Selvom en angriber i første omgang skal have eller få admin-adgang for at gemme payloaden, gør den langvarige karakter af gemt XSS og potentialet for at målrette administratorer det til en højprioriteret løsning for sites, der hoster følsomt indhold, flere administratorer eller eCommerce-data.

Hvordan man opdager, om dit site er inficeret (indikatorer for kompromis)

Før du foretager ændringer, skal du altid tage en sikkerhedskopi af dit site og database. Udfør derefter følgende kontroller:

  1. Inspicer pluginindstillinger og admin-sider
    • Gennemgå manuelt alle indstillingsskærme for Survey-pluginet og andre mindre betroede plugins.
    • Se specifikt efter uventede tags, på* attributter (onclick, onload), iframe-tags eller mistænkelig HTML.
  2. Søg databasen efter script-lignende indhold
    • Brug WP‑CLI:
      • Søg i options: wp db forespørgsel "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<scrip%' OR option_value LIKE '%onload=%' OR option_value LIKE '%javascript:%' LIMIT 100;"
      • Søg postmeta: wp db forespørgsel "SELECT meta_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<scrip%' OR meta_value LIKE '%onload=%' LIMIT 100;"
    • Brug af SQL (kør i et sikkert miljø og med en backup):
      • VÆLG option_id, option_name FRA wp_options HVOR option_value LIGNER '%<script%';
      • VÆLG ID, post_title FRA wp_posts HVOR post_content LIKE '%
  3. Tjek server- og WAF-logfiler
    • Se efter gentagne blokerede anmodninger eller regeludløsere, der indeholder mistænkelige payload-fragmenter (f.eks. kodede payloads, script-tags, mistænkelige base64-sekvenser).
    • Hvis du driver en WAF, gennemgå blokerede URI'er, der retter sig mod plugin-indstillingsendepunkter (URLs der indeholder /wp-admin/options.php, eller plugin-specifikke indstillings-slugs som /wp-admin/admin.php?page=survey).
  4. Browser sikkerhedskonsol
    • Hvis du mistænker en payload, åbn udviklerværktøjer, mens du ser på admin-sider. XSS payloads logger ofte til konsollen eller viser netværksopkald til ukendte værter.
  5. Filintegritets- og filsystemkontroller
    • Kør en filintegritets-scanning (sammenlign med et rent WordPress-kerne og plugin-sæt) for at opdage droppede bagdøre eller ændrede filer. Gemt XSS kan bruges som et springbræt til kompromittering af filsystemet.
  6. Revider brugerkonti og sessionaktivitet
    • Se efter uventede administrative brugere eller sessioner fra ukendte IP'er.
    • Afslut forældede sessioner og kræv genautentificering for admin-konti.

Øjeblikkelige afbødningsforanstaltninger (sikker, praktisk rækkefølge)

  1. SIKKERHEDSKOPI — Fuld site- og databasebackup før der foretages ændringer.
  2. Deaktiver plugin'et
    • Hvis du har bekræftet brugen af Survey-plugin ≤ 1.1, deaktiver eller fjern det straks, hvis en patch-version ikke er tilgængelig.
  3. Rens indstillinger og databaseposter
    • Identificer poster med mistænkelig HTML og fjern eller neutraliser script-tags. Eksempel SQL (gør dette kun efter backup og test):
      • Erstat script-tags ved at undslippe dem:

        UPDATE wp_options SET option_value = REPLACE(option_value, '<script', '<script') WHERE option_value LIKE '%<script%';
      • Eller nulstil indstillingen:

        UPDATE wp_options SET option_value = '' WHERE option_name = 'survey_plugin_option_name';
    • Vi anbefaler at fjerne de problematiske indstillingsværdier og re-konfigurere dem ved hjælp af betroet input.
  4. Håndhæve admin-hærdning
    • Tving nulstilling af adgangskoder for alle administratorer.
    • Tilbagetræk eventuelle langvarige API-nøgler og roter dem.
    • Aktivér 2FA for administrator-konti.
    • Reducer antallet af administratorer og revider rettigheder.
  5. Anvend virtuel patching med en WAF
    • Udrul regler, der målretter Survey-pluginets indstillingsendepunkter. En WAF giver et effektivt midlertidigt beskyttelseslag, indtil en officiel patch frigives. Se afsnittet “WAF-regler og signaturer” nedenfor for eksempler.
  6. Scann for malware og bagdøre
    • Kør en fuld malware-scanning af siden og filintegritetskontrol. Kig i wp-indhold/uploads, plugin-mapper og rod for ukendte PHP-filer eller web shells.
  7. Gennemgå og overvåg logs
    • Hold detaljerede logs over admin-ændringer, login-forsøg og WAF/HTTP-logs i mindst 30 dage efter hændelsen.
  8. Følg op med patching
    • Så snart plugin-forfatteren offentliggør en rettet version, opdater straks og genbekræft indstillingssanitization.

WAF-regler og signaturer — hvordan man virtuelt patcher denne sårbarhed

Virtuel patching (mønsterbaseret blokering ved kanten) er en sikker og hurtig måde at forhindre udnyttelse, mens man venter på en officiel plugin-patch.

Generel strategi:

  • Bloker eller saniter anmodninger, der indeholder sandsynlige script-payloads, når de retter sig mod plugin-indstillingsendepunkter.
  • Bloker mistænkelige payload-kodninger (procentkodninger, hex, base64), der kan obfuscere scripts.
  • Overvåg og alarmer, når admin-sider modtager mistænkelige POST-anmodninger.

Eksempel på pseudo-regler (udtrykt som læsbar logik; din WAF UI vil acceptere regelsyntaks for ModSecurity, nginx eller cloud WAF-udbydere).

Regel A — Bloker script-tags i anmodninger til plugin-indstillingsendepunkter:

  • Når anmodningens URI matcher: /wp-admin/admin.php ELLER indeholder side=undersøgelse (tilpas til plugin'ens indstillingsslug)
  • Og enhver anmodningskrop eller forespørgselsstreng indeholder mønsteret <script (case-insensitiv)
  • Så blokér anmodningen og log detaljer.

Regel B — Bloker mistænkelige hændelseshåndterere i input:

  • Hvis anmodningen indeholder attributter som onload=, onclick=, en fejl= eller javascript: i parametre, blokér/flag anmodningen.

Regel C — Bloker højrisiko kodninger i admin POSTs:

  • Hvis en POST til /wp-admin/admin.php eller /wp-admin/options.php indeholder mønstre som script (URL-kodet <script) eller lange base64-sekvenser, der dekoder til mistænkeligt indhold, blokér anmodningen og udløs en alarm.

Eksempel ModSecurity (pseudo) — indsæt ikke blindt; tilpas til din platform:

SecRule REQUEST_URI "@pm admin.php options.php" "kæde,fase:2,afvis,log,id:100001,tag:'WP-Firewall','blokér admin indstillings script injektion'"

Noter:

  • Test altid WAF-regler i detektionsmode først for at undgå falske positiver.
  • Fokuser regler på admin-endepunkter eller plugin-specifikke URIs for at minimere collateral blocking.

WP-Firewall kunder: vores administrerede WAF kan skubbe målrettede virtuelle patches til specifikke plugin-endepunkter og vedligeholde dem, efterhånden som nye data ankommer. Hvis du bruger vores gratis plan, skal du aktivere WAF-beskyttelser og overvågning; overvej at opgradere til automatisk virtuel patching, når plugin'et forbliver upatcheret.

Hvordan udviklere skal rette koden (anbefalet sikker kodning)

Hvis du er plugin-forfatter eller ansvarlig for udviklingen, skal du følge disse bedste praksisser for at undgå lagret XSS i indstillingssider:

  1. Rens input ved gemning — stol aldrig på brugerinput:
    • Brug WordPress-rensningsfunktioner, der er relevante for de forventede data:
      • Tekst: sanitize_text_field()
      • Tekstområder, der tillader begrænset HTML: wp_kses( $input, $allowed_html )
      • URLs: esc_url_raw() ved gem
      • Heltal: absint() eller intval()
  2. Escape ved output — escape for den kontekst, hvor data gengives:
    • Output inden for HTML: esc_html()
    • Attributkontekster: esc_attr()
    • JavaScript-kontekster: brug wp_json_encode() eller esc_js()
    • Når der outputtes til admin-sider, skal du stadig escape — administratorer er også brugere, og deres browsere bør ikke køre ikke-pålidelige scripts.
  3. Håndhæve kapabilitetskontroller og nonces:
    • Bekræft current_user_can( 'manage_options' ) eller passende kapabilitet før gemning af indstillinger.
    • Bruge check_admin_referer() og wp_nonce_field() til formularer.
  4. Princippet om mindst mulig privilegium:
    • Undgå at præsentere rå HTML-felter i indstillinger, medmindre det er absolut nødvendigt. Hvis du tillader HTML, skal du begrænse tilladte tags med wp_kses_allowed_html().
  5. Inputvalidering og længdebegrænsninger:
    • Anvend stærke valideringsregler og pålæg rimelige maxlength-attributter for at begrænse angrebsoverfladen.
  6. Kontinuerlig sikkerhedstestning:
    • Inkluder automatiseret statisk analyse og manuelle kodegennemgange for input/output-håndtering.
    • Tilføj enhedstest, der bekræfter rensnings- og escape-adfærd.

En korrekt løsning inkluderer typisk både sanitering af input og escaping af output. Hvis et plugin gemmer HTML med vilje (f.eks. brugerdefineret markup), skal du sikre dig, at den tilladte HTML er strengt defineret, og at gemte værdier er saniterede.

Hvordan man sikkert renser eksisterende inficerede sider (trin-for-trin)

Advarsel: Manuel rengøring kan være risikabelt. Tag altid backup af databasen og filer. Ideelt set udfør oprydning på en staging-kopi først.

  1. Tag backup af hele siden (filer + DB) og eksportér den til et sikkert sted.
  2. Sæt siden i vedligeholdelsestilstand, hvis det er nødvendigt.
  3. Deaktiver Survey-pluginet (eller ethvert plugin, der er identificeret som sårbart).
  4. Identificer mistænkelige DB-poster:

    wp db query "SELECT option_name, LENGTH(option_value) FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onload=%' LIMIT 100;"
  5. Saniter eller fjern mistænkelige værdier:
    • Hvis en indstilling ikke er vigtig, skal du rydde den:

      UPDATE wp_options SET option_value = '' WHERE option_name = 'survey_option_name';
    • Hvis du skal bevare værdien, skal du escape værdien i DB:

      UPDATE wp_options SET option_value = REPLACE(option_value, '<script', '<script') WHERE option_value LIKE '%<script%';
  6. Genaktiver pluginet først efter rengøring, og test admin-skærme igen.
  7. Nulstil admin-sessioner og tving passwordopdateringer.
  8. Scann filsystemet for web shells eller modificerede plugin-filer.
  9. Gendan fra en ren sikkerhedskopi, hvis du ikke kan fjerne alle spor med sikkerhed.

Hvis du ikke er komfortabel med SQL-operationer, bed din hostingudbyder eller en trænet WordPress-sikkerhedsprofessionel om hjælp.

Retshåndhævelse & aktiviteter efter hændelsen

Hvis du mistænker, at sårbarheden er blevet udnyttet:

  • Bevar logs (HTTP adgangslogs, WAF logs, PHP fejl logs).
  • Tag et retsmedicinsk snapshot af databasen og filsystemet til senere analyse.
  • Tjek for nye/modificerede admin-brugere:

    SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;
  • Inspicer planlagte begivenheder (cron) og uventede opgaver (wp_cron poster).
  • Se efter filer med nylige ændringsdatoer eller filer på usædvanlige placeringer.
  • Hvis du opdager ondsindede filer, isoler siden og udbedre på en kopi; slet ikke blot filer uden beviser — angribere kan have vedholdenhedsmekanismer.

Efter oprydning, styrk miljøet og kør kontinuerlig overvågning for at opdage tilbagefald.

Content Security Policy (CSP) og headers — defensiv bælte-og-seler

En stærk Content Security Policy kan begrænse virkningen, hvis en payload formår at nå en browser. Eksempel header at overveje (tilpas til din side):

  • Tilføj til serverkonfiguration eller sikkerhedsplugin:

    Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.example.com; object-src 'none'; base-uri 'self'; frame-ancestors 'none';

Andre nyttige headers:

  • X-Content-Type-Options: nosniff
  • Referrer-Policy: no-referrer-when-downgrade
  • X-Frame-Options: SAMEORIGIN
  • Strict-Transport-Security: max-age=31536000; includeSubDomains; preload (hvis du bruger HTTPS)

En CSP er ikke en erstatning for korrekt kode-sanitization og escaping, men det hjælper med at reducere blast radius fra DOM-baserede eller injicerede scripts.

Hvorfor administreret WAF og virtuel patching betyder noget

I situationer hvor plugins er populære, og leverandørpatches kan være langsomme til at dukke op, tilføjer en administreret WAF to kritiske kapaciteter:

  • Hurtig virtuel patching — firewall'en kan blokere udnyttelsesmønstre, der retter sig mod plugin'ens indstillingsendepunkter, før en kodepatch er tilgængelig.
  • Løbende overvågning og regelopdateringer — når nye udnyttelsesmønstre ses i naturen, bliver reglerne forfinet og implementeret hurtigt.

WP-Firewall leverer administrerede WAF-regler, der kan tilpasses din side og plugin-fodaftryk, herunder blokering af admin-endepunkt POSTs med mistænkelige input og registrering af obfuskationsforsøg. Denne tilgang giver dig tid til at planlægge en applikationsniveau løsning uden at udsætte din side for masseudnyttelses-kampagner.

Genopretningscheckliste (kortfattet)

  • Tag backup af websted og database straks.
  • Deaktiver det sårbare plugin.
  • Søg og sanitér DB for script payloads.
  • Rotér admin-legitimationsoplysninger og API-nøgler.
  • Aktiver 2FA for alle admin-brugere.
  • Implementer WAF-regler for at blokere XSS payload-mønstre på plugin-endepunkter.
  • Kør malware- og filintegritetsscanninger.
  • Revider brugerkonti og nylig aktivitet.
  • Anvend officielle plugin-opdateringer, når de frigives.
  • Overvåg logfiler og planlæg opfølgende kontroller.

Praktiske detektions- og hjælpekommandoer

Søg efter almindelige script-lignende markører:

  • WP-CLI:

    wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onload=' OR option_value LIKE '%javascript:%';"
  • Grep uploads-mappen for nylige mistænkelige PHP-filer:

    find wp-content/uploads -type f -name '*.php' -print -exec ls -l {} \;
  • List nylige filændringer:

    find . -type f -mtime -30 -print

Test altid kommandoer i et staging-miljø, hvis det er muligt.

En kort note om ansvarlig offentliggørelse og leverandørkoordination

Hvis du er ejer af et site, og du finder en sårbarhed eller beviser for udnyttelse, overvej at rapportere det til plugin-forfatteren gennem deres officielle supportkanaler. Hvis plugin-forfatteren ikke svarer, eller hvis en patch er forsinket, brug virtuel patching og kontakt en sikkerhedstjeneste for at koordinere afbødning.

Få øjeblikkelig beskyttelse — Prøv WP‑Firewall Gratis Plan

Hvis du hurtigt vil beskytte dit site, mens du håndterer plugin-revisioner eller afhjælpning, tilbyder WP‑Firewall en gratis Basic-plan med essentielle beskyttelser, der er velegnede til de fleste WordPress-sider:

  • Essentielt beskyttelsespakke: administreret firewall, ubegribelig båndbredde, WAF, malware-scanner og afbødning for OWASP Top 10-risici.
  • Den gratis plan giver øjeblikkelig WAF-dækning for at opdage og blokere udnyttelsesforsøg, der retter sig mod plugin-endepunkter, plus scanningsmuligheder for at hjælpe dig med at finde og fjerne vedholdende payloads.

Udforsk den Grundlæggende (Gratis) plan her: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hvis du har brug for automatiserede oprydninger eller virtuel patching, tilføjer vores Standard- og Pro-betalte niveauer automatisk malwarefjernelse, IP-blacklisting/hvidlisting, planlagte rapporter og automatisk virtuel patching for yderligere at reducere eksponeringen.

Afsluttende tanker fra WP‑Firewall sikkerhedsingeniører

Gemte XSS-sårbarheder, der findes i plugin-indstillinger, fremhæver et tilbagevendende hul: mange plugins behandler administratorinput som “sikkert” som standard. Administratorer er betroede brugere, men tillid bør ikke være blind — gemte indstillinger skal altid renses og undslippe. I praksis er den bedste forsvar lagdelt:

  • Sikker kode (rens + undslip)
  • Reduceret angrebsoverflade (færre administratorer, mindst privilegium)
  • Runtime-beskyttelse (WAF, CSP, sikkerhedshoveder)
  • Opdagelse og genopretning (overvågning, sikkerhedskopier, hændelsesplan)

Hvis du kører WordPress-websteder med flere administratorer eller plugins fra tredjeparter, så lav en opgørelse nu og prioriter virtuel patching for plugins med kendte sårbarheder. Hvis du ønsker, at vores team skal gennemgå dit websted eller hjælpe med hurtigt at implementere beskyttelsesregler, så kontakt WP‑Firewall support, og vi vil hjælpe dig gennem inddæmning, afhjælpning og langsigtet hærdning.

Hold dig sikker, vær pragmatisk — og husk: sikkerhed er en proces, ikke en afkrydsningsboks.

— WP-Firewall Sikkerhedsteam

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™