WordPress FundEngine Lokal Fil Inklusion Sårbarhed//Udgivet den 2025-08-08//CVE-2025-48302

WP-FIREWALL SIKKERHEDSTEAM

FundEngine LFI Vulnerability Image

Plugin-navn FundEngine
Type af sårbarhed Lokal Fil Inklusion
CVE-nummer CVE-2025-48302
Hastighed Høj
CVE-udgivelsesdato 2025-08-08
Kilde-URL CVE-2025-48302

Haster: FundEngine (≤ 1.7.4) Lokal Fil Inklusion (LFI) — Hvad WordPress-webstedsejere skal gøre nu

Udgivelsessammendrag

En kritisk Lokal Fil Inklusion (LFI) sårbarhed, der påvirker FundEngine WordPress-pluginet (versioner ≤ 1.7.4), blev offentligt offentliggjort og tildelt CVE-2025-48302. Problemet tillader en lavprivilegeret bruger (Abonnentrolle) at få pluginet til at inkludere vilkårlige lokale filer fra webserveren og gengive deres indhold. Hvis det udnyttes, kan LFI føre til eksponering af følsomme filer (inklusive wp-config.php), lækage af legitimationsoplysninger og potentielt fuld database- eller webstedsovertagelse afhængigt af serverkonfigurationen.

Dette indlæg er skrevet fra perspektivet af WP-Firewall sikkerhedsteamet for at hjælpe webstedsejere, udviklere og administratorer med at forstå risikoen, genkende udnyttelsesforsøg og udføre øjeblikkelig og langsigtet afhjælpning. Jeg vil forklare sårbarheden, vise eksempler på angrebsmønstre, give forslag til WAF-regler og serverhærderingstrin samt levere handlingsorienteret hændelsesrespons og genopretningsvejledning.

Indholdsfortegnelse

  • Hvad er LFI, og hvorfor er det vigtigt
  • CVE-detaljer (påvirkede versioner, alvorlighed)
  • Hvordan FundEngines LFI kan udnyttes (teknisk nedbrydning)
  • Eksempel på udnyttelsesanmodning(er)
  • Øjeblikkelige handlinger (hurtig tjekliste)
  • Anbefalede WAF-regler og eksempler på virtuelle patches
  • Sikker kodningsrettelser, som pluginforfattere bør anvende
  • Detektion: hvad man skal se efter i logs og filsystem
  • Hændelsesrespons: hvis du mistænker kompromittering
  • Langsigtet hærdning og bedste praksis
  • WP-Firewall gratis plan — beskyt dit websted i dag
  • Afsluttende noter

Hvad er Lokal Fil Inklusion (LFI), og hvorfor er det vigtigt

Lokal Fil Inklusion (LFI) er en sårbarhedsklasse, hvor en applikation tager brugerinput og bruger det til at opbygge en filsti, der bruges af en include/require-funktion (eller lignende), uden ordentlig validering eller sanitering. I stedet for at begrænse sig til sikre filer inden for et kontrolleret bibliotek, kan applikationen blive narret til at læse vilkårlige filer på serveren. En vellykket LFI kan afsløre følsomme konfigurationsfiler (for eksempel wp-config.php eller andre filer, der indeholder legitimationsoplysninger), kildekode, logfiler eller endda tillade kædeangreb, der fører til fjernkodeeksekvering.

Hvorfor dette er særligt farligt for WordPress-websteder:

  • WordPress-websteder gemmer ofte DB-legitimationsoplysninger og salte i php-filer (wp-config.php). At afsløre disse kan give adgang til databasen eller privilegieforhøjelse.
  • Delte hostingmiljøer har ofte flere websteder på den samme server; en LFI kan give angribere oplysninger, der er nyttige til lateral bevægelse.
  • Angrebsautomatisering: når en LFI er offentlig, automatiserer angribere typisk scanninger og udnyttelsesforsøg hurtigt.

Fordi denne FundEngine LFI kan udløses af en abonnentkonto, er det højrisiko for multi-bruger-websteder (medlemskab, donation eller fællesskabswebsteder), hvor lavprivilegerede konti er nemme at registrere.

CVE og berørte versioner

  • Berørt software: FundEngine WordPress-plugin
  • Sårbare versioner: ≤ 1.7.4
  • Rettet i: 1.7.5
  • CVE: CVE-2025-48302
  • Rapporteret privilegium: Abonnent (lavt privilegium)
  • Alvorlighed: CVSS 7.5 (Høj)

Hvis dit websted bruger FundEngine, og plugin'et er version 1.7.4 eller ældre, skal du behandle dette som kritisk og tage øjeblikkelig handling.

Hvordan FundEngine LFI kan udnyttes (teknisk nedbrydning)

På et højt niveau inkluderer det sårbare plugin en PHP-fil baseret på en brugerleveret parameter uden korrekt at begrænse den tilladte sti. Denne type fejl ser typisk sådan ud:

  • Plugin'et modtager en anmodningsparameter (f.eks. side, indlæsning, fil) og tilføjer den til en include/require-erklæring.
  • Den brugerkontrollerede input er ikke normaliseret, renset eller begrænset til en tilladelsesliste.
  • En angriber leverer kataloggennemgangssekvenser (../) eller kodede ækvivalenter for at undgå den tilsigtede plugin-mappe og referere til vilkårlige lokale filer.
  • Serveren inkluderer filen og ekkoer dens output — hvis PHP-filer inkluderes, kan PHP-indholdet muligvis ikke udføres, men kan blive eksponeret i nogle serverkonfigurationer; oftere afsløres indholdet af tekstbaserede følsomme filer (konfigurationsfiler, logs). I forkert konfigurerede opsætninger, hvor fjernfilinkludering er mulig, kan dette føre til fjernkodeudførelse.

Fordi angriberen kan være en abonnent, kræver udnyttelsen kun en lavprivilegeret konto (som er triviel at opnå på mange websteder).

Almindelige svagheder set i LFI:

  • Bruger include($_GET['page']) eller include(ABSPATH . '/path/' . $_GET['file']) uden normalisering eller realpath-tjek.
  • At undlade at blokere null byte-injektion, forskellige kodninger (%2e%2e%2f) eller PHP-wrapper (php://filter).
  • At ikke begrænse inkluderede filer til et sikkert bibliotek eller bruge en tilladelsesliste over acceptable identifikatorer.

Eksempel på udnyttelsesanmodning(er)

Nedenfor er illustrative eksempler på den slags HTTP-anmodninger, en angriber kunne sende. Disse er kun til defensive og detektionsformål.

Eksempel 1 — forsøg på kataloggennemgang (simpelt):

GET /?fundpage=../../../../wp-config.php HTTP/1.1

Eksempel 2 — URL-kodet gennemgang:

GET /?fundpage=%2e%2e%2f%2e%2e%2f%2e%2e%2fwp-config.php HTTP/1.1
Host: victim.example

Eksempel 3 — php://filter for at afsløre PHP-kilde:

GET /?fundpage=php://filter/read=convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

Hvis plugin'et ikke renser input og direkte inkluderer stien, kan disse payloads få siden til at vise wp-config.php indhold (eller dens base64-kodede repræsentation), eller andre filer såsom .env, error_log, eller brugerdefinerede filer.

Bemærk: angribere vil ofte forsøge variationer med null bytes, forskellige kodninger, eller forsøge at inkludere tema/plugin PHP-filer for at afsløre legitimationsoplysninger eller skabe en mere avanceret RCE-kæde.

Øjeblikkelige handlinger — hurtig tjekliste (for webstedsejere)

Hvis du hoster WordPress-websteder med FundEngine installeret, skal du følge disse trin lige nu:

  1. Opgrader plugin'et
    • Opdater FundEngine til version 1.7.5 eller senere straks. Dette er den eneste garanterede løsning.
  2. Hvis du ikke kan opdatere med det samme:
    • Deaktiver midlertidigt FundEngine-plugin'et.
    • Eller placer en WAF-regel, der blokerer for den sårbare slutpunkt eller mistænkelige inkluderingslignende parametre (se reglerne nedenfor).
  3. Inspicer logs for tegn på udnyttelse:
    • Search web server access logs for patterns like “..”, “%2e%2e”, “php://filter”, or requests hitting the plugin endpoints from unknown IPs.
  4. Scan for kompromittering:
    • Udfør en fuld malware-scanning og integritetskontrol af WordPress-kernen, tema- og plugin-filer.
    • Se efter nye admin-brugere, ændrede filer og mistænkelige PHP-filer.
  5. Hvis du finder beviser for eksponering af wp-config.php eller andre hemmeligheder:
    • Rotér databaselegitimationsoplysninger straks og opdater wp-config.php med nye legitimationsoplysninger.
    • Rotér eventuelle API-nøgler, SMTP-legitimationsoplysninger eller andre hemmeligheder, der måtte være blevet eksponeret.
  6. Backup nuværende tilstand:
    • Lav en retsmedicinsk backup (filer + DB) og isoler den til senere analyse.
  7. Hærd server PHP-indstillinger:
    • Deaktiver allow_url_include (php.ini).
    • Begræns open_basedir til WordPress-kataloger, hvis det er muligt.

Opgradering er topprioritet. Hvis du ikke kan opgradere med det samme, anvend en virtuel patch via din WAF og reducer angrebsoverfladen.

Anbefalede WAF-regler og eksempler på virtuelle patches

Nedenfor er eksempler på WAF (webapplikationsfirewall) regler, du kan bruge som en midlertidig virtuel patch, indtil du opgraderer til 1.7.5. Brug dem i din vært eller plugin WAF (dette er leverandør-uafhængig vejledning). Test reglerne i et staging-miljø før produktion, når det er muligt.

1) Bloker mistænkelig sti-gennemgang i parametre:

SecRule ARGS_NAMES|ARGS "@rx (?:\bfile\b|\bpage\b|\bpath\b|\bview\b|\bfundpage\b)" "phase:2,deny,log,status:403,id:100001,msg:'Block possible LFI attempts - traversal in include param',t:none,t:lowercase,chain"
  SecRule ARGS "@rx (\.\./|\%2e\%2e|\.\.\\x2f|php://|/etc/passwd|wp-config\.php)" "t:none,log"

SecRule ARGS "@rx (\.\./|\\|\.\.\\x2f|php://|/etc/passwd|wp-config\.php)" "t:none,log"

2) Bloker forsøg på at bruge php://filter til at læse kilde:"

SecRule ARGS|REQUEST_URI "@contains php://filter" "phase:2,deny,log,status:403,id:100002,msg:'Bloker php://filter-forsøg'"

3) Forhindre base64-kodede afsløringer:"

SecRule REQUEST_URI|ARGS "@rx (base64_encode|convert.base64-encode)" "phase:2,deny,log,status:403,id:100003,msg:'Bloker base64 kodede fil læseforsøg'"

SecRule ARGS "@rx (%2e%2e%2f|%c0%ae%c0%ae|%252e%252e%252f)" "phase:2,deny,log,status:403,id:100004,msg:'Block URL-encoded traversal sequences'"

SecRule ARGS "@rx (||2e2e2f)" "phase:2,deny,log,status:403,id:100004,msg:'Bloker URL-kodede gennemgangssekvenser'"

  • 5) Nægt anmodninger til plugin-inkluderingsendepunkter fra ikke-pålidelige brugere: Hvis den sårbare parameter er kendt (for eksempel eller fundpagefile.

), begræns adgangen til kun indloggede administratorer via WAF-cookieverifikation eller blokér anonyme og abonnentanmodninger til det endepunkt.

6) Bloker forsøg på at inkludere følsomme filer:"

7) Begræns hastigheden for mistænkelige slutpunkter:

  • Implementer hastighedsbegrænsninger på plugin-slutpunkterne for at bremse automatiserede udnyttelsesforsøg og hjælpe med at reducere indflydelsen, mens du opdaterer.

Vigtige overvejelser:

  • Tilpas reglerne til det præcise parameternavn og plugin-slutpunktet, der bruges af FundEngine. Generiske regler kan blokere falske positiver; hvidlistning af legitime trafik kilder eller stier reducerer forstyrrelser.
  • Overvåg logfiler efter aktivering af regler for at sikre, at der ikke opstår utilsigtede brud.
  • En WAF giver øjeblikkelig afbødning, men er ikke en erstatning for opdatering af det sårbare plugin.

Sikker kodning, som plugin-udviklere bør anvende

Hvis du er en plugin-udvikler eller ansvarlig for brugerdefineret kode, er den korrekte løsning at fjerne enhver direkte inkludering af brugerkontrollerede stier og vedtage disse sikre praksisser:

  1. Brug en tilladelsesliste (helst et associativt array) af tilladte skabeloner/delviser identificeret ved korte nøgler, ikke direkte filnavne: 
    <?php
  2. Hvis du skal acceptere filidentifikatorer, kortlæg disse identifikatorer server-side til kendte sikre filer — brug ikke direkte sammenkædning.
  3. Inkluder aldrig rå brugerinput i filstier. Brug kanonisering og sammenlign realpaths: 
    <?php
  4. Afvis indpakninger og filtre:
    • Bloker php://, data:, zip://, phar:// og lignende indpakninger i input.
    • Fjern null bytes og håndter kodninger.
  5. Valider brugerens kapabiliteter:
    • Hvis en fil skal inkluderes via anmodning, kræv en kapabilitetskontrol (for eksempel current_user_can('administrer_indstillinger')) eller nonce kontrol.
  6. Brug WordPress funktioner:
    • sanitize_key(), esc_attr(), wp_verify_nonce(), nuværende_bruger_kan(), og WP filsystem API'er for at reducere risikoen.
  7. Logging og revision:
    • Tilføj logging til mistænkelige inkluderingsforsøg til senere undersøgelse, uden at afsløre følsomt indhold i logs.

Disse foranstaltninger konverterer et usikkert mønster til et eksplicit kontrolleret design.

Detektion: hvad man skal se efter i logs og filsystem

Søg i dine webserver adgangs/fejllogs og WordPress logs efter følgende:

Anmodningsmønstre

  • Anmodninger der indeholder ..%2f, ..%2e, %2e%2e%2f, php://filter, convert.base64-kodning, wp-config.php, .env, /etc/passwd.
  • Uventede GET/POST parametre navngivet fundpage, side, visning, skabelon, Hvis den sårbare parameter er kendt (for eksempel, indlæs.
  • Anmodninger med lange kodede nyttelaster eller gentagne traverseringsforsøg.

Serveradfærd

  • 200 OK svar på mistænkelige anmodninger, der ellers skulle returnere 403.
  • Anmodninger, der returnerer store svar af PHP-kildekode eller konfigurationsdata.
  • Gentagne anmodninger fra en enkelt IP eller distribueret scanning fra mange IP'er.

Filssystemindikatorer

  • Nye PHP-filer i wp-content/uploads eller plugin-mapper.
  • Ændrede kerne- eller plugin-filer (tjek tidsstempler).
  • Uventede filer med mistænkelige navne (f.eks., phpinfo.php, wp-admin/includes/backup.php, shell.php).

WordPress-indikatorer

  • Nye admin-brugere, du ikke har oprettet.
  • Ukendte planlagte opgaver (cron-begivenheder).
  • Overdreven udgående e-mails eller spidser i trafik til usædvanlige slutpunkter.

Hvis du opdager nogen af disse, antag mulig eksponering og følg hændelsesresponsen nedenfor.

Hændelsesrespons: hvis du mistænker kompromittering

  1. Isolere
    • Tag midlertidigt siden offline (vedligeholdelsestilstand) eller blokér trafik til det berørte slutpunkt.
    • Fjern offentlig adgang, mens du undersøger.
  2. Retningsbestemt optagelse
    • Opret en fuld sikkerhedskopi af filer og database til undersøgelse (opbevar off-site eller offline).
    • Bevar logfiler fra webserver, PHP og enhver WAF.
  3. Identificer omfang
    • Bestem hvilke filer der blev tilgået via LFI, og om nogen legitimationsoplysninger blev afsløret eller brugt.
    • Se efter indikatorer for post-udnyttelsesaktivitet: webshells, planlagte opgaver, cron-jobs, nye admin-konti, udgående forbindelser.
  4. Legitimationsrotation
    • Hvis wp-config.php eller nogen hemmeligheder blev afsløret, roter DB-legitimationsoplysninger straks og opdater wp-config.php.
    • Rotér eventuelle API-nøgler eller tokens, der måtte have været gemt på siden.
  5. Rengør og genopret
    • Fjern ondsindede filer og gendan ændrede kerne/plugin/tema-filer til kendte gode versioner.
    • Hvis det er omfattende eller uklart, gendan fra en backup før kompromittering (verificeret ren).
  6. Genopbyg (hvis nødvendigt)
    • I alvorlige tilfælde, genopbyg site-miljøet: genopbyg serveren fra et rent billede og gendan indhold fra en ren backup.
  7. Overvågning efter hændelsen
    • Øg logning og overvågning i flere uger for at opdage eventuel resterende adgang.
    • Overvej en professionel hændelsesresponsservice, hvis du mangler intern erfaring.
  8. Offentliggørelse og gennemsigtighed
    • Underret berørte brugere, hvis deres data eller konti måtte være blevet afsløret. Følg lovgivningsmæssige forpligtelser ved databrud.

Langsigtet hærdning og bedste praksis

Udover at lappe denne specifikke sårbarhed, implementer disse kontroller for at reducere fremtidig risiko:

  1. Hold WordPress, plugins og temaer opdateret — prioriter sikkerhedsopdateringer.
  2. Reducer antallet af aktive plugins; afinstaller plugins, du ikke bruger.
  3. Håndhæve mindst privilegium:
    • Begræns registreringer eller kræv moderation for nye brugere.
    • Giv kun brugere de roller/kapaciteter, de har brug for; undgå at give abonnenter ekstra kapaciteter.
  4. Hærd PHP og serverkonfiguration:
    • Deaktiver allow_url_include.
    • Brug open_basedir begrænsninger.
    • Hold PHP og OS pakker opdaterede.
  5. Forhindre filredigering:
    • Indstil define('DISALLOW_FILE_EDIT', sand) i wp-config.php.
  6. Brug rollebaseret adgang til følsomme plugin-endepunkter (kapabilitetskontroller & nonces).
  7. Regelmæssige sikkerhedskopier:
    • Hold off-site sikkerhedskopier med opbevaring.
  8. Overvågning af filintegritet:
    • Brug checksum sammenligninger til at opdage uventede ændringer.
  9. Applikationsniveau WAF:
    • Implementer WAF regler og oprethold en regelmæssig gennemgang af blokeret trafik for at reducere falske positiver.
  10. Sikkerhedsrevisioner:
    • Periodiske kodegennemgange for brugerdefinerede plugins og temaer; brug automatiserede SAST værktøjer og manuelle revisioner for kritiske komponenter.
  11. Overvågning og alarmering:
    • Konfigurer alarmer for mistænkelige anmodninger, høj fejlrate eller uventede admin-begivenheder.
  12. Uddan admin-brugere:
    • Træn webstedets administratorer i sikker plugin-installation, opdateringer og genkendelse af phishing eller social engineering.

Eksempel på ModSecurity + nginx konfigurationssnip (defensiv)

Nedenfor er et eksempel på en nginx placering blok med en simpel kontrol for at nægte anmodninger med mistænkelig traversal eller php:// mønstre til forespørgselsstrenge. Dette er en letvægts stop-gap; tilpas til dit miljø.

nginx konfigurations eksempel:

server {
    ...
    location / {
        if ($query_string ~* "(?:\.\./|%2e%2e%2f|php://|convert.base64-encode|wp-config\.php)") {
            return 403;
        }
        try_files $uri $uri/ /index.php?$args;
    }
}

Husk: dette er en hurtig afbødning. Korrekte WAF-regler og plugin-opdatering forbliver uundgåelige.

WP-Firewall anbefalet konfiguration til denne sårbarhed

Hvis du bruger WP-Firewall (vores administrerede WAF til WordPress), anbefaler vi:

  • Aktivér automatiske regleropdateringer, så din side modtager virtuel patch-dækning for nyopdagede sårbarheder.
  • Sørg for, at WAF blokerer for kataloggennemgangsbelastninger, php:// filtre og base64 filterforsøg.
  • Tænd for hastighedsbegrænsning og blokering for mistænkelige plugin-endepunkter og signaturer specifikke for FundEngine.
  • Aktivér detaljeret logning for plugin-endepunkterne, så du kan identificere forsøg på udnyttelse.
  • Hvis du driver en multi-lejer eller medlemskabswebsted, hvor abonnentkonti eksisterer, skal du indstille strengere adgangskontroller og overveje at kræve e-mailbekræftelse og manuel godkendelse for nye konti.

Hvis du vil prøve vores gratis beskyttelsesniveau for straks at få en administreret firewall, WAF og malware-scanning (og for at anvende beskyttelsesregler, mens du opdaterer), se afsnittet nedenfor.

Ny: Sikker din side med WP-Firewalls gratis beskyttelsesniveau

Beskyt kritiske stier øjeblikkeligt med vores Basis (Gratis) plan — sikker, automatiseret og enkel at implementere.

Hvorfor prøve WP-Firewall Basis (Gratis)?

  • Essentiel beskyttelse i det øjeblik, en sårbarhed afsløres: administreret firewall, WAF-regler og automatiseret scanning for almindelige angreb.
  • Ubegribelig båndbredde med letvægtsregler, der blokerer for gennemgangs- og filinklusionsforsøg på tværs af plugin-endepunkter.
  • Afbødning for OWASP Top 10-risici lige ud af boksen — reducerer eksponeringen, mens du anvender leverandørpatches.
  • Nem aktivering: tilmeld dig, verificer din side, og vores virtuelle patch-regler leveres automatisk, så du hurtigt får beskyttelse.

Start med den gratis plan nu:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hvis du har brug for mere avancerede funktioner, tilbyder vi Standard- og Pro-planer med automatisk malwarefjernelse, whitelist/blacklist-kontroller, månedlige rapporter, automatisk virtuel patching og premium support.

Hvad der skal kommunikeres til interessenter og brugere

Hvis din side har fællesskabsmedlemmer, donorer eller brugere, skal du gøre følgende:

  • Vær gennemsigtig, hvis nogen personlige data kan være blevet eksponeret. Giv et præcist resumé af, hvad der skete, og hvilke skridt du har taget.
  • Opfordr brugerne til at ændre adgangskoder, hvis der er nogen chance for eksponering af legitimationsoplysninger.
  • Hvis finansielle eller donationsoplysninger kan være blevet påvirket, skal du underrette din betalingsbehandler og følge de krævede regler for brudmeddelelser.
  • Giv en forventet tidslinje for løsning og hold kommunikationen faktuel og ikke-alarmistisk.

Afsluttende bemærkninger og anbefalet tidslinje

  1. Øjeblikkelig (næste 1–2 timer)
    • Opdater FundEngine til 1.7.5. Hvis du ikke kan, deaktiver plugin'et eller anvend en WAF-regel, der blokerer risikable parametre.
    • Søg logs for php://, wp-config.php, ..%2f og lignende payloads.
  2. Kort sigt (inden for 24–72 timer)
    • Rotér DB- og API-legitimationsoplysninger, hvis du har fundet beviser for eksponering.
    • Udfør en malware- og integritetsscanning på hele siden.
    • Udrul yderligere hærdning (IKKE TILLADT_FILREDIGERING, deaktiver allow_url_include, open_basedir).
  3. Mellemlang sigt (1–4 uger)
    • Gennemgå andre plugins for usikre filinkluderingsmønstre.
    • Implementer rolle- og registreringskontroller for abonnenter.
    • Overvej en fuld sikkerhedsrevision eller en administreret tjeneste, hvis flere websteder eller værdifulde aktiver er involveret.

LFI sårbarheder tiltrækker hurtig automatiseret udnyttelse. Opdatering af plugin'et er den hurtigste måde at beskytte dit site på. Når det ikke er muligt med det samme, vil en WAF virtuel patch og de ovenstående afbødninger reducere risikoen.

Hvis du har brug for hjælp til at konfigurere regler, teste afbødninger eller udføre en hændelsesrespons, er vores team tilgængeligt for at hjælpe.

Hold dig sikker — patch hurtigt, overvåg kontinuerligt, og begræns angrebsfladen hvor det er muligt.

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™