eMagicOne Store Manager Asesoría de Inyección SQL//Publicado el 2026-05-09//CVE-2026-42773

EQUIPO DE SEGURIDAD DE WP-FIREWALL

eMagicOne Store Manager Vulnerability

Nombre del complemento eMagicOne Administrador de Tienda
Tipo de vulnerabilidad Inyección SQL
Número CVE CVE-2026-42773
Urgencia Alto
Fecha de publicación de CVE 2026-05-09
URL de origen CVE-2026-42773

Urgente: Inyección SQL en eMagicOne Store Manager (≤1.3.2) — Lo que los propietarios y desarrolladores de sitios de WordPress deben hacer ahora

Autor: Equipo de seguridad de WP-Firewall
Fecha: 2026-05-09
Etiquetas: WordPress, Vulnerabilidad, Inyección SQL, WAF, Respuesta a Incidentes, eMagicOne Store Manager

Resumen: Se divulgó públicamente una vulnerabilidad crítica de Inyección SQL (CVE-2026-42773) que afecta al plugin eMagicOne Store Manager (versiones ≤ 1.3.2). Esta vulnerabilidad tiene una calificación alta (CVSS 9.3) y puede ser activada por solicitudes no autenticadas. Si ejecutas este plugin en cualquier sitio de WordPress, toma medidas inmediatas: aísla, mitiga y sigue los pasos de remediación en esta publicación.

Tabla de contenido

  • Visión general: qué sucedió
  • Por qué la Inyección SQL es tan peligrosa para los sitios de WordPress
  • Resumen técnico de la vulnerabilidad (nivel alto)
  • Pasos inmediatos para los propietarios del sitio (minutos a horas)
  • Mitigaciones a corto plazo (horas a días)
  • Cómo detectar la explotación e indicadores de compromiso
  • Guía para desarrolladores: cómo parchear el código correctamente
  • Guía de WAF y parches virtuales (lo que recomendamos)
  • Lista de verificación de respuesta a incidentes (para sitios comprometidos)
  • Endurecimiento y prevención a largo plazo
  • Acerca de WP-Firewall y cómo podemos ayudar
  • Protege tu sitio hoy — WP-Firewall Básico (Gratis)

Visión general: qué sucedió

El 7 de mayo de 2026 se divulgó públicamente una vulnerabilidad de Inyección SQL de alta prioridad que afecta al plugin de WordPress eMagicOne Store Manager (versiones ≤ 1.3.2) (CVE-2026-42773). Según el aviso, el código defectuoso acepta entradas no sanitizadas y construye consultas SQL de una manera que permite a un atacante manipular consultas de base de datos de forma remota, sin autenticación.

Datos clave:

  • Vulnerabilidad: Inyección SQL (A3: Inyección / OWASP)
  • Plugin afectado: eMagicOne Store Manager (conector)
  • Versiones vulnerables: ≤ 1.3.2
  • Privilegio requerido: No autenticado (sin inicio de sesión requerido)
  • Puntuación CVSS utilizada por el investigador: 9.3 (Alta)
  • Estado: No hay parche oficial disponible en el momento de la divulgación para las versiones vulnerables

Debido a que se trata de una Inyección SQL no autenticada, la exposición es grave: los atacantes pueden extraer o modificar datos, escalar privilegios, crear cuentas de administrador o usar el sitio como un punto de apoyo para ataques posteriores.

Por qué la Inyección SQL es tan peligrosa para los sitios de WordPress

La Inyección SQL es una de las vulnerabilidades web más impactantes. En los sitios de WordPress, las consecuencias incluyen:

  • Divulgación completa de la base de datos: los atacantes pueden leer wp_users (hashes de contraseñas), wp_options (configuraciones sensibles del sitio), pedidos, registros de clientes, claves API y otros datos confidenciales.
  • Escalación de privilegios: los atacantes pueden modificar roles de usuario o agregar cuentas de administrador.
  • Desfiguración del sitio, puertas traseras, ransomware: con acceso a la base de datos, un atacante puede insertar contenido malicioso, crear trabajos cron maliciosos o plantar puertas traseras persistentes.
  • Movimiento lateral: el contenido de la base de datos a menudo contiene credenciales y tokens que los atacantes utilizan para acceder a servicios de alojamiento, servicios de terceros u otros sitios conectados.
  • Explotación masiva: las vulnerabilidades SQLi no autenticadas a menudo son armadas y escaneadas en masa; miles de sitios pueden verse afectados rápidamente.

Dado esto, cualquier sitio que ejecute un plugin vulnerable debe tratar el problema como urgente.

Resumen técnico de la vulnerabilidad (nivel alto)

La vulnerabilidad surge cuando el código del plugin construye consultas SQL utilizando datos derivados de los parámetros de la solicitud HTTP (GET/POST) sin la validación o parametrización adecuada. En lugar de utilizar declaraciones preparadas o APIs de base de datos de WordPress de manera segura, el código concatena la entrada en una cadena de consulta. Esto permite a un atacante inyectar estructuras de control SQL (por ejemplo: cláusulas adicionales, UNION, operadores lógicos) para manipular el conjunto de resultados devuelto o realizar operaciones destructivas.

Propiedades técnicas importantes:

  • Acceso no autenticado: un atacante no requiere credenciales para activar la ruta de código vulnerable.
  • El punto final vulnerable es accesible desde la web (puntos finales de conector de plugin o rutas AJAX/REST).
  • El plugin construye consultas que están influenciadas por parámetros controlados por el atacante.

No estamos publicando deliberadamente código de explotación línea por línea ni ejemplos completos de carga útil de ataque aquí para evitar proporcionar una hoja de ruta para la explotación automatizada, pero la mecánica es una inyección SQL clásica: SQL no parametrizado que incluye entrada del usuario.

Pasos inmediatos para los propietarios del sitio (minutos a horas)

Si su sitio ejecuta eMagicOne Store Manager (o el plugin “Store Manager Connector”), haga lo siguiente de inmediato:

  1. Identificar instalaciones afectadas
    • Busque en su lista de plugins (wp-admin > Plugins) y en su sistema de archivos carpetas de plugins con nombres que coincidan con eMagicOne / store-manager / store-manager-connector.
    • Si utiliza alojamiento gestionado o inventarios de software centralizados, consulte el nombre y la versión del plugin.
  2. Tome una instantánea de emergencia (si es posible)
    • Cree una copia de seguridad completa (archivos + base de datos) ahora mismo y guárdela fuera de línea. Esto preserva evidencia antes de cualquier remediación.
  3. Si no puede aplicar un parche de inmediato (sin parche oficial disponible):
    • Desactive el plugin hasta que un parche seguro esté disponible.
    • Si la desactivación interrumpe las operaciones y no puede desconectar el plugin, proceda a las mitigaciones a corto plazo a continuación.
  4. Pon el sitio en modo de mantenimiento (si es apropiado)
    • Limite la exposición pública mientras completa los escaneos y mitigaciones.
  5. Rota credenciales sensibles.
    • Cambie las contraseñas de las cuentas de administrador de WordPress, la contraseña del usuario de la base de datos (si es posible) y cualquier clave API que pueda estar almacenada en opciones o configuraciones de plugins.
  6. Notifica a tu equipo y a tu proveedor de alojamiento.
    • Informe a los administradores del sitio y a los equipos de seguridad del host y coordine los pasos y la preservación de registros.

Estas acciones de emergencia son sobre contener la exposición. Si sospecha de una violación, siga la lista de verificación de Respuesta a Incidentes a continuación.

Mitigaciones a corto plazo (horas a días)

Si no puede actualizar el plugin de inmediato (por ejemplo, no se ha lanzado un parche o la actualización romperá flujos críticos para el negocio), aplique una o más de las siguientes mitigaciones mientras espera una solución adecuada:

  1. Patching virtual a través de WAF
    • Despliegue una regla de Firewall de Aplicaciones Web para bloquear patrones de solicitudes maliciosas que apunten al endpoint del plugin. El parcheo virtual evita que los intentos de explotación lleguen al código vulnerable.
  2. Restringe el acceso a los puntos finales del complemento
    • Utilice reglas de acceso a nivel de servidor (.htaccess, configuración de nginx) para restringir los endpoints del conector del plugin a rangos de IP específicos (IPs de administrador, servidores de gerentes de tienda) o para bloquear todo acceso directo desde Internet público.
    • Ejemplo: denegar el acceso público a /wp-content/plugins/store-manager-connector/* excepto desde IPs de confianza.
  3. Desactive o restrinja las rutas admin-ajax / REST utilizadas por el plugin.
    • Si el error está en un manejador AJAX o REST que no es necesario para la funcionalidad principal, desactive temporalmente el manejador o agregue una verificación de permisos.
  4. Agregue verificaciones de longitud de solicitud y valor de parámetro.
    • Bloquee las solicitudes que contengan fragmentos SQL sospechosos (por ejemplo, “UNION”, “SELECT”, “SLEEP(“, “–“, “/*”) en los parámetros utilizados por el plugin, pero evite bloqueos excesivos que perjudiquen el tráfico legítimo.
  5. Endurecer el usuario de la base de datos.
    • Siempre que sea posible, ejecute WordPress con un usuario de base de datos que tenga solo los privilegios requeridos. Nota: WordPress core espera SELECT/INSERT/UPDATE/DELETE; restringir privilegios puede romper plugins, pero donde sea posible evite otorgar privilegios similares a superusuario.
  6. Monitorear y limitar la tasa.
    • Agregue limitación de tasa para solicitudes a endpoints de plugins y habilite el registro y alertas para solicitudes repetidas que coincidan con patrones de inyección.
  7. Escanee en busca de signos de compromiso
    • Realice un escaneo de malware de archivos y base de datos, verifique si hay nuevas cuentas de administrador, opciones sospechosas, contenido o tareas programadas.

Nota: estas mitigaciones son soluciones temporales, no reemplazos para actualizar o parchear el plugin vulnerable.

Cómo detectar la explotación y los indicadores de compromiso (IoCs)

Esté atento a las siguientes señales de que un sitio puede haber sido atacado o comprometido a través de inyección SQL:

  • Consultas o errores de base de datos inesperados en los registros.
    • Errores de MySQL en los registros de PHP que mencionan errores de sintaxis, consultas extrañas o tiempos de espera de consultas.
  • Páginas inusualmente lentas o picos en la carga de la base de datos
    • Consultas pesadas repetidas desencadenadas por cargas útiles inyectadas pueden aumentar la carga.
  • Nuevos o modificados usuarios administradores
    • Verifica wp_users en busca de cuentas no reconocidas o cambios de privilegios.
  • Cambios inesperados en wp_options, posts o posts_meta
    • Los atacantes a menudo dejan opciones maliciosas o cambian la configuración de la URL del sitio para redirigir el tráfico.
  • Nuevos o modificados archivos PHP o archivos de plugins
    • Los cambios en el sistema de archivos (nuevas puertas traseras) son comunes después de la explotación.
  • Tareas programadas (wp_cron) que no creaste
    • Verifica wp_options donde se almacenan las entradas de cron y el crontab del servidor en busca de trabajos maliciosos.
  • Conexiones salientes
    • El código malicioso puede conectarse a servidores remotos de comando y control.
  • Solicitudes HTTP sospechosas
    • Llamadas repetidas a los puntos finales del plugin con cadenas de parámetros inusualmente largas, o parámetros que contienen palabras clave SQL o cargas útiles codificadas.

Registros a inspeccionar:

  • Registros de acceso del servidor web (filtrar por puntos finales de plugins)
  • Registros de errores de PHP-FPM / Apache
  • WordPress debug.log (si está habilitado)
  • Registros de la base de datos (registro de consultas lentas, registro de consultas generales)
  • Registros del panel de control de hosting (cargas SFTP, cambios de archivos)

Si aparece alguno de estos, trata el sitio como potencialmente comprometido y sigue la lista de verificación de Respuesta a Incidentes a continuación.

Guía para desarrolladores: cómo parchear el código correctamente

Si mantienes o desarrollas el plugin, o eres el proveedor, sigue las mejores prácticas de codificación segura para corregir vulnerabilidades de inyección SQL:

  1. Usa consultas parametrizadas y APIs de DB de WordPress

    Utilice siempre $wpdb->preparar para consultas que incluyan entrada externa. Ejemplo (seguro):

    global $wpdb;
  2. Evite la concatenación de cadenas para SQL

    No construya SQL como: “… WHERE id = $id” donde $id es proporcionado por el usuario.

  3. Utilice $wpdb->insert / $wpdb->update / $wpdb->delete

    Estas funciones auxiliares preparan y convierten automáticamente los valores.

    $wpdb->insert(;
  4. Para los puntos finales de la API REST, haga cumplir los callbacks de permisos

    Al registrar rutas REST, proporcione un robusto devolución de llamada de permisos que verifique capacidades y, cuando sea necesario, nonces.

    register_rest_route( 'myplugin/v1', '/do-something', [;
  5. Validar y sanitizar todas las entradas

    Use el sanitizador adecuado para cada tipo esperado:

    • desinfectar_campo_de_texto() para texto corto
    • sanitizar_correo_electrónico(), desinfectar_campo_área_de_texto(), esc_url_raw()
    • intval(), floatval(), wp_validate_{{pc_skip_field}}
    • Para entradas estructuradas (JSON), decodifique y valide las claves y tipos esperados.
  6. Limite los resultados y use listas blancas

    Donde sea posible, acepte solo valores específicos conocidos (lista blanca) en lugar de intentar bloquear patrones malos.

  7. Evite devolver errores de DB a los usuarios

    Los errores que revelan detalles de SQL o esquema ayudan a los atacantes.

  8. Use declaraciones preparadas para consultas LIKE

    Usar $wpdb->esc_like() + preparar.

  9. Agregue pruebas unitarias y pruebas de fuzz

    Prueba tus capas de acceso a datos con entradas inesperadas para asegurarte de que fallen de manera segura.

  10. Uso de bibliotecas de terceros

    Si tu plugin incluye ayudantes de DB externos o capas similares a ORM, revísalos para una correcta parametrización.

Al seguir esta lista de verificación, los desarrolladores de plugins pueden prevenir SQLi y otras clases de inyección.

Guía de WAF y parches virtuales (lo que recomendamos)

Un Firewall de Aplicaciones Web (WAF) es una de las formas más rápidas de proteger sitios de vulnerabilidades conocidas mientras un proveedor prepara y distribuye un parche adecuado. WP-Firewall proporciona reglas de WAF gestionadas y parches virtuales que pueden bloquear intentos de explotación dirigidos a los puntos finales específicos del plugin.

Qué tan efectivo es el parcheo virtual:

  • Bloquea patrones de explotación conocidos a nivel HTTP antes de que lleguen al código PHP vulnerable.
  • Gana tiempo para que los equipos de desarrollo produzcan, prueben y distribuyan parches adecuados.
  • Cuando se ajusta cuidadosamente, el parcheo virtual tiene mínimos falsos positivos y mantiene el sitio disponible.

Recomendaciones de reglas de WAF (de alto nivel — ajustadas por sitio):

  • Bloquear solicitudes a puntos finales específicos del plugin que contengan caracteres de control SQL o palabras clave (por ejemplo, “UNION” sin escapar, “SELECT”, “INSERT”, “UPDATE”, “SLEEP(“, “BENCHMARK(“, marcadores de comentarios en línea como “–” o “/*”).
  • Limitar la longitud de los parámetros para parámetros conocidos que se espera que sean IDs o slugs pequeños.
  • Agregar limitación de tasa y bloquear IPs que golpean repetidamente puntos finales vulnerables.
  • Para sitios expuestos al público/internet, restringir puntos finales sensibles del plugin a IPs en la lista blanca (administradores, servidores de tienda).
  • Monitorear y bloquear solicitudes con cargas SQL ofuscadas (codificación hex, doble codificación).

Importante: Las reglas de WAF deben ser cuidadosamente delimitadas para evitar bloquear tráfico legítimo. Las reglas específicas del plugin (basadas en la ruta del punto final y nombres de parámetros) son más seguras que el bloqueo genérico de palabras clave SQL.

Lista de verificación de respuesta ante incidentes (si sospecha que la situación se ha complicado)

Si determinas que tu sitio ha sido explotado o ves indicadores de compromiso, sigue un proceso formal de respuesta a incidentes:

  1. Aislar
    • Llevar el sitio fuera de línea o ponerlo en modo de mantenimiento para detener más daños.
  2. Preservar las pruebas
    • Toma instantáneas de archivos y DB, preserva registros y evita alterar el sistema más de lo necesario.
  3. Identifica el alcance
    • Determina qué cuentas, archivos y datos fueron accedidos o modificados.
  4. Contener y erradicar
    • Desactiva plugins vulnerables, elimina puertas traseras y limpia archivos maliciosos. Utiliza herramientas de eliminación de malware verificadas y revisión manual.
  5. Rotar credenciales
    • Restablecer las contraseñas de WordPress (todos los usuarios administradores), contraseñas de base de datos, claves API y cualquier credencial de terceros relacionada. Actualizar las sales (AUTH_KEY, etc.) en wp-config.php.
  6. Restaurar o reconstruir limpio
    • Restaurar desde una copia de seguridad limpia hecha antes de la violación si existe una copia de seguridad confiable. Si no, reconstruir el sitio a partir de fuentes limpias y reimportar solo datos verificados y limpios.
  7. Fortalecimiento post-incidente
    • Aplicar parches, revisar registros, aumentar la supervisión e implementar reglas de WAF y otras mitigaciones para prevenir la re-explotación.
  8. Informe
    • Notificar a los clientes afectados si se expuso información, y cumplir con las obligaciones legales y del proveedor de alojamiento.
  9. Aprender
    • Realizar un análisis de causa raíz y actualizar los procedimientos para prevenir recurrencias.

Si no tienes experiencia en respuesta a incidentes, involucra a un profesional de seguridad o al equipo de incidentes de tu proveedor de alojamiento de inmediato.

Endurecimiento y prevención a largo plazo

Más allá de las soluciones inmediatas, sigue estas mejores prácticas para reducir el riesgo futuro:

  • Mantener el núcleo de WordPress, temas y plugins actualizados. Aplicar actualizaciones de seguridad de manera oportuna.
  • Desactivar y eliminar plugins y temas no utilizados.
  • Mantener el principio de menor privilegio: minimizar el número de usuarios administradores, usar roles granulares y evitar cuentas de administrador compartidas.
  • Haga cumplir una autenticación fuerte:
    • Usar contraseñas fuertes, administradores de contraseñas y habilitar la autenticación de dos factores para los usuarios administradores.
  • Desactive la edición de archivos en el panel de control: 
    define( 'DISALLOW_FILE_EDIT', true );
  • Endurecer permisos de archivo:
    • Usar permisos seguros para wp-config.php, uploads y carpetas de plugins.
  • Copias de seguridad regulares:
    • Mantener copias de seguridad automatizadas y fuera del sitio con versionado, y probar restauraciones regularmente.
  • Monitoreo y registro de seguridad:
    • Retener registros, implementar alertas sobre eventos sospechosos y revisarlos periódicamente.
  • Revisión de código de seguridad:
    • Si construyes plugins o temas personalizados, realiza revisiones de código seguro, análisis estático y verificaciones de dependencias.
  • Entorno de staging:
    • Probar actualizaciones y parches de seguridad en un entorno de pruebas antes de aplicarlos en producción.

Estas prácticas reducen la probabilidad y el impacto de futuras vulnerabilidades.

Ejemplo: Acceso a datos inseguro vs seguro (conceptual)

Patrón inseguro (NO usar):

// Vulnerable: concatena la entrada del usuario directamente en SQL;

Patrón seguro (usar $wpdb->prepare y sanitizar):

global $wpdb;

Para entradas de cadena, sanitizar y usar %s:

$sku = isset( $_GET['sku'] ) ? sanitize_text_field( wp_unslash( $_GET['sku'] ) ) : '';

Nunca confíes en la entrada proporcionada por el cliente; siempre valida y prepara.

Cómo ayuda WP-Firewall (protección gestionada y parches virtuales)

En WP-Firewall protegemos sitios de WordPress en múltiples capas:

  • WAF gestionado: podemos implementar parches virtuales que bloquean patrones de explotación conocidos para esta vulnerabilidad de eMagicOne (y otras vulnerabilidades) hasta que esté disponible un parche oficial del plugin.
  • Escáner de malware: escanea continuamente archivos y bases de datos en busca de indicadores de compromiso.
  • Mitigación de OWASP Top 10: reglas para reducir riesgos de inyección, XSS, CSRF y otras amenazas comunes.
  • Protección de ancho de banda: protege contra tráfico de escaneo masivo automatizado que a menudo precede a los ataques.
  • Notificaciones e información sobre incidentes: registros accionables y alertas cuando se detectan patrones de solicitud sospechosos.

Si gestionas múltiples sitios o sitios de clientes, el parcheo virtual a través de un WAF gestionado es a menudo la forma más rápida de reducir la exposición mientras coordinas un lanzamiento de plugin parcheado y pruebas tu entorno.

Protege tu sitio hoy — WP-Firewall Básico (Gratis)

Comienza a proteger tu sitio de inmediato con el plan Básico (Gratis) de WP-Firewall. Incluye protecciones esenciales que todos necesitan:

  • Protección esencial: firewall gestionado y ancho de banda ilimitado
  • Reglas de Firewall de Aplicaciones Web (WAF)
  • Escáner de malware
  • Mitigación de los 10 principales riesgos de OWASP

Si deseas eliminación automática de malware y más control, nuestro plan Estándar (de pago) añade eliminación automática de malware y listas de permitidos/bloqueados de IP. Para organizaciones que necesitan informes completos y parcheo virtual automático a gran escala, el plan Pro proporciona informes de seguridad mensuales, parcheo virtual automático de vulnerabilidades y complementos premium que incluyen un Gerente de Cuenta Dedicado y Servicio de Seguridad Gestionado.

Regístrate para el plan gratuito aquí:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Cronograma de remediación recomendado

  • Ahora (0–1 hora)
    • Detectar si el plugin está instalado, desactivar el plugin si es posible, tomar una instantánea fuera de línea, rotar credenciales.
  • Corto plazo (1–24 horas)
    • Aplicar un parche virtual WAF o restricción de acceso a nivel de servidor a los puntos finales del plugin, escanear en busca de compromisos, contactar a los equipos de hosting/TI.
  • Medio plazo (1–7 días)
    • Aplicar el parche oficial cuando el proveedor lo publique, o actualizar a una versión del plugin parcheada. Si no hay parche oficial disponible, coordinar con el proveedor del plugin para una solución o eliminar/reemplazar el plugin.
  • Largo plazo (semanas)
    • Realizar una revisión posterior al incidente, reforzar la postura de seguridad y aplicar la lista de verificación de endurecimiento anterior.

Reflexiones finales del equipo de seguridad de WP-Firewall

La inyección SQL no parcheada y no autenticada es una de las rutas más rápidas hacia un compromiso total del sitio. Cuando se divulga una vulnerabilidad como CVE-2026-42773, la velocidad importa: los actores de amenazas frecuentemente añaden tales fallas a escáneres automatizados en cuestión de horas. Para cada propietario y desarrollador de sitios, la prioridad es la contención y protección: deshabilitar o restringir la ruta de código vulnerable, parchear virtualmente con un WAF mientras preparas y pruebas una actualización de código adecuada, y realizar un escaneo y validación exhaustivos antes de devolver el sitio a producción.

Si necesitas ayuda para implementar mitigaciones, configurar reglas de WAF o realizar respuesta a incidentes, nuestro equipo de seguridad en WP-Firewall está disponible para ayudar. Incluso nuestro plan gratuito proporciona protección WAF esencial y escaneo de malware que puede bloquear muchos intentos de explotación automatizados.

Mantente seguro: inventarios de plugins instalados, políticas de actualización automatizadas y un WAF confiable son los tres pasos prácticos que reducen el riesgo de vulnerabilidades explotadas masivamente.

Referencias y recursos

  • Detalles de CVE: CVE-2026-42773 (listado público)
  • Documentación para desarrolladores de WordPress: $wpdb, $wpdb->prepare, register_rest_route, permission_callback
  • OWASP Top 10: categoría de inyección

(Si encontraste útil esta publicación, márcala y vuelve para actualizaciones: publicaremos reglas de mitigación y orientación técnica a medida que se disponga de más detalles y parches oficiales.)

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™