Vulnerabilidad de Cross Site Scripting en el shortcode Schema de WordPress//Publicado el 2026-03-23//CVE-2026-1575

EQUIPO DE SEGURIDAD DE WP-FIREWALL

WordPress Schema Shortcode Plugin Vulnerability

Nombre del complemento Plugin de shortcode de esquema de WordPress
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-1575
Urgencia Bajo
Fecha de publicación de CVE 2026-03-23
URL de origen CVE-2026-1575

XSS almacenado de contribuyente autenticado a través de shortcode (Schema Shortcode <= 1.0) — Lo que los propietarios de sitios de WordPress deben hacer ahora

Versión corta: una vulnerabilidad de scripting entre sitios almacenado (XSS) que afecta al plugin de WordPress “Schema Shortcode” (versiones hasta e incluyendo 1.0) permite a un usuario autenticado con privilegios de contribuyente almacenar JavaScript dentro del contenido que luego se renderiza a otros usuarios (o administradores) sin el escape o saneamiento adecuado. Aunque la complejidad técnica directa de explotar este problema es baja, el riesgo en el mundo real depende de los roles del sitio, el uso del plugin y si los usuarios privilegiados interactúan con contenido infectado. Esta publicación explica el problema en un lenguaje sencillo, el impacto en su sitio, pasos prácticos de detección y mitigación, cómo endurecer WordPress y el código del plugin, y cómo un firewall de aplicación web (WAF) como WP‑Firewall puede ayudar a reducir su exposición de inmediato.

Nota: este artículo proporciona orientación defensiva y pasos seguros de remediación. No proporciona cargas útiles de explotación ni instrucciones de explotación paso a paso.

Tabla de contenido

  • Qué es XSS almacenado y por qué importan los shortcodes
  • Cómo funciona este problema específico (resumen no técnico)
  • Evaluación de gravedad y riesgo
  • Escenarios de explotación realistas
  • Acciones inmediatas (mitigaciones a corto plazo)
  • Detección: cómo encontrar contenido sospechoso e indicadores
  • Soluciones a nivel de código y mejores prácticas de divulgación responsable
  • Recomendaciones de WAF / parcheo virtual
  • Respuesta a incidentes y recuperación después de la explotación
  • Endurecimiento a largo plazo y higiene de roles
  • Cómo ayuda WP‑Firewall (plan gratuito y opciones de actualización)
  • Lista de verificación: acciones rápidas a tomar ahora mismo
  • Reflexiones finales

Qué es XSS almacenado y por qué importan los shortcodes

El scripting entre sitios almacenado (XSS) ocurre cuando un actor malicioso coloca JavaScript o HTML ejecutable en un almacenamiento de datos persistente (generalmente la base de datos de WordPress como contenido de publicación, comentario o un campo) y ese contenido se renderiza posteriormente en navegadores para otros usuarios. Debido a que la carga útil está almacenada en su sitio, cada visitante que carga la página que renderiza el contenido almacenado puede verse afectado.

Los shortcodes son un bloque de construcción común de WordPress. Los plugins registran shortcodes que permiten a los autores de contenido insertar elementos dinámicos utilizando una etiqueta compacta como [ejemplo attr="valor"]. Los plugins procesan esas etiquetas del lado del servidor y generan HTML para los visitantes. Si un manejador de shortcode acepta entrada no confiable y luego devuelve HTML o contenido de script sin escapar (o utiliza atributos inseguros), puede resultar en XSS almacenado.

En este caso, la vulnerabilidad surge porque un usuario de nivel contribuyente puede enviar contenido que termina siendo pasado a través del renderizador de shortcode del plugin y emitido en páginas sin un saneamiento de salida suficiente.

Cómo funciona este problema específico (resumen no técnico)

  • El plugin expone un shortcode que se puede agregar a publicaciones o páginas.
  • Un Contribuyente (rol de usuario autenticado) puede crear o editar publicaciones e incluir ese shortcode con parámetros o contenido que incluya cadenas similares a HTML o JavaScript.
  • El manejador de shortcode del plugin no sanitiza ni escapa adecuadamente los valores proporcionados por el usuario antes de renderizarlos en el frontend.
  • Cuando se visualiza la página que contiene el shortcode malicioso (por otro visitante, un moderador o un administrador), el script incrustado se ejecuta en el contexto del navegador de ese visitante.
  • El atacante puede usar el script inyectado para objetivos típicos de XSS: extracción de tokens de sesión, redirección de visitantes, inyección de contenido adicional o carga de recursos maliciosos. El impacto depende de qué usuarios vean la página y qué privilegios tengan.

Importante: Los usuarios contribuyentes no son administradores completos, pero pueden crear publicaciones. Si su flujo de trabajo editorial incluye contribuyentes de confianza, el impacto puede ser mayor; si los contribuyentes no son de confianza (permitiendo que el contenido proporcionado por el usuario se edite con poca revisión), el riesgo aumenta.

Evaluación de gravedad y riesgo

  • Contexto estilo CVSS: Este es un XSS almacenado autenticado. Requiere privilegios limitados del atacante (Contribuyente). La ejecución directa de código a nivel de sistema es poco probable, pero la compromisión del lado del cliente (navegador) es posible.
  • Impacto en el negocio: Si un administrador o editor ve el contenido comprometido, el atacante podría ejecutar scripts que realicen acciones privilegiadas en la interfaz de administración en nombre del administrador conectado (efectos similares a CSRF), o instalar puertas traseras, crear nuevas cuentas de administrador a través de solicitudes ocultas, exfiltrar cookies sensibles (si no son solo HTTP), o aprovechar la ingeniería social para una mayor compromisión.
  • Complejidad del ataque: Bajo a moderado para un atacante decidido que puede crear contenido como Contribuyente. Requiere que la víctima (usuario del sitio con privilegios suficientes o visitante) cargue la página infectada.
  • Explotabilidad: Medio donde los contribuyentes son numerosos y la revisión es ligera. Bajo en flujos de trabajo editoriales estrictamente controlados donde todo el contenido es revisado antes de publicarse y los contribuyentes no pueden publicar sin aprobación.

En resumen: trate esto como una amenaza significativa para los sitios web que permiten a los contribuyentes agregar shortcodes o incluir parámetros de shortcode arbitrarios en el contenido de las publicaciones, especialmente cuando los usuarios privilegiados navegan por dicho contenido.

Escenarios de explotación realistas

  1. Visitantes anónimos del frontend afectados
    • Un Contribuyente malicioso publica una publicación que incluye el shortcode vulnerable. Los visitantes ven la publicación y el script inyectado se ejecuta en sus navegadores, habilitando clickjacking, redirecciones, inserción de spam o seguimiento.
  2. Compromiso dirigido a administradores
    • El atacante crea una publicación o borrador que contiene una carga útil de XSS y vincula al administrador a ella a través de un correo electrónico de phishing o un mensaje de chat. Una vez que el administrador hace clic y ve la página mientras está conectado, el script utiliza la sesión del administrador para realizar acciones solo disponibles para administradores (crear nuevas cuentas de administrador, cambiar plugins, cargar puertas traseras) emitiendo solicitudes autenticadas.
  3. Inyección de contenido persistente a través de plantillas
    • Si la salida del shortcode se utiliza en widgets, extractos o en secciones de la página de inicio donde muchos usuarios o personal previsualizan contenido, se produce una exposición más amplia.
  4. Exposición de cadena de suministro o multi-sitio
    • En instalaciones multisite o entornos de desarrollo/etapa que comparten roles de usuario o privilegios a nivel de red, el impacto puede expandirse más allá de un solo sitio.

Acciones inmediatas (mitigaciones a corto plazo)

Si gestionas sitios de WordPress, toma estos pasos inmediatos y priorizados:

  1. Actualiza el plugin si se lanza una versión corregida
    – Esta es la única remediación más autoritaria. Si el desarrollador lanza una versión parcheada, actualiza a través del administrador de WordPress o WP-CLI de inmediato.
  2. Si no hay un parche oficial disponible:
    – Desactiva el plugin temporalmente en los sitios donde está activo, especialmente si los colaboradores pueden publicar contenido que llegue a páginas públicas o sea visto por administradores.
    – Alternativamente, desactiva el manejador de shortcode para evitar que el plugin renderice el shortcode. Puedes eliminar un shortcode registrado con:

    <?php;

    – Si no conoces la etiqueta del shortcode, desactiva temporalmente el plugin por completo.

  3. Limita el acceso de los colaboradores
    – Cambia el flujo de trabajo de los colaboradores: requiere que los colaboradores envíen borradores para revisión en lugar de publicar de inmediato.
    – Elimina la capacidad de las cuentas de colaborador para agregar shortcodes o incrustar HTML. Puedes ajustar las capacidades de usuario con un plugin de gestión de roles o programáticamente.
  4. Refuerza quién puede ver contenido no confiable
    – No revises publicaciones no confiables mientras estés conectado con privilegios de administrador. Usa una cuenta de revisor separada con derechos limitados o previsualiza contenido desconectado.
  5. Agrega reglas inmediatas de WAF / parche virtual
    – Usa tu firewall para bloquear solicitudes que incluyan contenido sospechoso similar a scripts en los parámetros de shortcode, o bloquea publicaciones creadas por cuentas de colaborador que incluyan "<script", "onerror=", "javascript:" y similares indicadores. (Consulta la sección de WAF a continuación para orientación sobre reglas.)
  6. Escanea contenido sospechoso ahora
    – Busca en tus publicaciones shortcodes y cadenas sospechosas (consulta la sección de Detección).
  7. Auditar la actividad reciente de los colaboradores
    – Identifica publicaciones, páginas y revisiones creadas o modificadas recientemente por cuentas de colaborador. Revísalas antes de permitir que permanezcan publicadas.

Detección: cómo encontrar contenido sospechoso e indicadores

Necesitas averiguar si ya se ha almacenado contenido malicioso y dónde. A continuación se presentan pasos de detección seguros y prácticos.

  1. Buscar contenido de publicaciones para los shortcodes del plugin
    • Si conoces el nombre del shortcode (por ejemplo, [esquema o [código_corto_esquema), búscalo:
    • WP-CLI: 
      wp post list --post_type=post,page --format=csv --fields=ID,post_title | while IFS=, read -r ID TITLE; do
    • SQL: 
      SELECT ID, post_title, post_type;
  2. Buscar tokens HTML o JS sospechosos
    • Buscar <script, JavaScript:, onerror=, al cargar=, o variantes codificadas:
    • SQL: 
      SELECT ID, post_title;
    • También verifica la tabla de revisiones (wp_posts donde post_type = ‘revision’).
  3. Verificar la actividad del autor
    • Identificar publicaciones escritas por usuarios con el rol de Contribuidor durante el período relevante. Usa usermeta para mapear IDs de usuario a capacidades si es necesario.
  4. Registros del servidor web y registros de WAF
    • Inspeccionar registros de acceso para solicitudes repetidas a la misma URL de publicación o llamadas admin-ajax que incluyeron contenido de shortcode en los cuerpos de POST.
    • Verificar registros de WAF para solicitudes bloqueadas relacionadas con patrones de script.
  5. Indicadores del navegador
    • Si los visitantes informan redirecciones inesperadas, ventanas emergentes o contenido de página alterado, investiga el código fuente de la página en busca de scripts inyectados.
  6. Utiliza herramientas de escaneo
    • Ejecutar un escaneo de malware en todo el sitio y un escáner de XSS en el DOM para detectar scripts inyectados que pueden no ser visibles en el contenido bruto de la publicación (por ejemplo, inyectados en áreas de widgets o PHP del tema).

Soluciones a nivel de código y prácticas de programación seguras

Si eres un desarrollador que mantiene el plugin o un parche específico del sitio, sigue principios de codificación segura:

  1. Sane todos los inputs y escapa en la salida
    • Trata cualquier valor proporcionado por una cuenta de menor privilegio como no confiable.
    • Para atributos que deberían ser texto plano: usa desinfectar_campo_de_texto() o esc_attr().
    • Para atributos que deberían permitir HTML limitado: usa wp_kses() con una lista permitida estricta.
    • En la salida, escapa usando esc_html(), esc_attr(), o wp_kses_post() dependiendo del contexto.
  2. comprobaciones de capacidad
    Antes de procesar o almacenar HTML sin procesar de un editor o parámetro de shortcode, verifica que el usuario actual tenga html_sin_filtrar capacidad u otra capacidad apropiada:

    if ( ! current_user_can( 'unfiltered_html' ) ) {
  3. Evita mostrar datos de usuario sin procesar directamente
    Incluso al generar HTML para un shortcode, construye una salida estructurada y escapa cada atributo:

    $title = isset( $atts['title'] ) ? sanitize_text_field( $atts['title'] ) : '';'<div class='schema-title'>"$atts = shortcode_atts( array("</div>";"<div class='schema-desc'>" . wp_kses( $desc, $allowed ) . "</div>";
  4. Lista blanca de HTML permitido en lugar de lista negra
    Preferir wp_kses() con un estricto array de etiquetas/atributos permitidos en lugar de eliminar etiquetas específicas a través de regex.
  5. Procesa correctamente el contenido del shortcode
    Si el shortcode acepta contenido (es decir, [shortcode]contenido[/shortcode]) asegúrate de que el contenido pase por wp_kses_post() o se escape estrictamente.
  6. Pruebas unitarias y pruebas de integración
    Agrega pruebas unitarias que cubran casos de input malicioso: cadenas XSS típicas, atributos HTML como onerror, URIs de datos y cargas útiles codificadas. Las pruebas deben verificar que la salida no incluya scripts ejecutables.

Si estás parcheando el plugin localmente, coloca cualquier solución temporal en un mu-plugin o un plugin específico del sitio para que sobrevivan a las actualizaciones de tema y eliminaciones de plugins.

Ejemplo de filtro seguro para sanitizar la salida de shortcode (parche a nivel de sitio)

Coloca lo siguiente como un MU-plugin (coloca en wp-content/mu-plugins/):

<?php
/**
 * Site-level defense: sanitize output of known vulnerable shortcode tag.
 * Replace 'schema' with the actual shortcode tag used by the plugin.
 */

add_filter( 'do_shortcode_tag', function( $output, $tag, $attr ) {
    // Only operate on the target shortcode tag
    if ( 'schema' !== $tag ) {
        return $output;
    }

    // Whitelist of allowed tags/attributes for output
    $allowed_tags = array(
        'a' => array( 'href' => true, 'title' => true, 'rel' => true ),
        'span' => array( 'class' => true ),
        'div' => array( 'class' => true ),
        'p' => array(),
        'strong' => array(),
    );

    // Strip any <script> or event-handlers and ensure safe output
    return wp_kses( $output, $allowed_tags );

}, 10, 3 );

Esta es una mitigación a corto plazo: un plugin bien construido debería validar y escapar en la fuente (antes de devolver $output).

Recomendaciones de WAF / parcheo virtual

Si no puedes actualizar el plugin de inmediato o un parche aún no está disponible, el WAF es tu palanca más rápida para reducir el riesgo. Aquí hay ideas de reglas defensivas de WAF que puedes implementar sin revelar cargas útiles de explotación:

  1. Bloquear publicaciones/documentos autorados por cuentas de Contribuidor que contengan tokens similares a scripts
    Regla: Si se realiza una solicitud POST a wp-admin/post.php o admin-ajax.php por un usuario identificado como rol=contribuidor y el post_content contiene <script o JavaScript: o onerror=, bloquear/máscara la solicitud y alertar a los administradores.
  2. Bloquear o sanitizar respuestas que rendericen shortcodes que contengan marcadores de script
    Regla: Si una respuesta de página contiene la salida de shortcode del plugin e incluye <script> o controladores de eventos en línea, eliminar o bloquear el contenido antes de la entrega.
  3. Coincidir patrones de uso de atributos sospechosos
    Bloquear o sanitizar ocurrencias de onerror=, al cargar=, onclick=, JavaScript: en atributos dentro del contenido cuando el contenido proviene de autores no administradores.
  4. Limitar la actividad sospechosa del editor
    Hacer cumplir límites de tasa más estrictos en contribuyentes que crean o actualizan publicaciones que contienen shortcodes con longitudes de parámetros inusuales o cargas útiles codificadas.
  5. Limitar el HTML permitido para operaciones de edición de contribuyentes
    Si es posible, instruir al WAF para que canonicice/normalice el contenido POST (por ejemplo, decodificar la codificación de URL) y eliminar solicitudes que incluyan patrones HTML no permitidos.

Advertencia: Las reglas de WAF basadas en regex pueden generar falsos positivos. Comienza en modo solo detección (monitoreo) y refina antes de bloquear.

Si estás utilizando WP‑Firewall, habilita las reglas de parcheo virtual gestionadas que apunten a las etiquetas de script y atributos sospechosos en la salida de shortcode de usuarios con privilegios bajos. Esto proporciona la mitigación más rápida mientras coordinas un parche para el plugin.

Respuesta a incidentes y recuperación después de la explotación

Si descubres evidencia de que esta vulnerabilidad ha sido explotada, procede con un manual de respuesta a incidentes estándar:

  1. Contener
    • Retira el contenido afectado de línea (despublica la entrada o establece como borrador).
    • Desactiva el plugin vulnerable hasta que sea parcheado o mitigado.
    • Aplica bloques WAF para los patrones de carga identificados.
  2. Preserva y recopila evidencia
    • Exporta los registros del servidor, volcado de bases de datos (solo lectura) y registros WAF para análisis forense.
    • Toma nota de los IDs de usuario, IPs, marcas de tiempo y cuerpos de solicitudes HTTP.
  3. Erradicar y remediar
    • Elimina contenido malicioso o vuelve a una revisión de entrada limpia.
    • Rota las claves API y secretos que puedan haber sido expuestos.
    • Fuerza restablecimientos de contraseña para usuarios en riesgo e invalida sesiones activas para cuentas comprometidas (usa la pantalla WP Users > Sessions o un plugin para invalidar sesiones).
    • Verifica si hay nuevos usuarios administradores, archivos modificados y cargas no autorizadas de plugins/temas.
  4. Recuperar
    • Restaure desde una copia de seguridad conocida y buena si es necesario.
    • Después de la limpieza, vuelve a habilitar el plugin solo si ha sido parcheado y verificado.
  5. Revisa y refuerza
    • Revisa cómo el colaborador pudo inyectar contenido y ajusta el flujo de trabajo.
    • Agrega monitoreo para vigilar patrones similares en el futuro.
  6. Notificar
    • Si se expuso información sensible o se comprometieron cuentas de usuario, notifica a las partes afectadas según tus obligaciones legales/regulatorias.

Endurecimiento a largo plazo y mejores prácticas

  1. Principio de mínimo privilegio
    Limita el número de usuarios con capacidades elevadas. Usa roles con moderación y revísalos trimestralmente.
  2. Flujos de trabajo editoriales estrictos
    Requiere que las publicaciones de los colaboradores sean revisadas y publicadas por editores. Evita otorgar derechos de publicación a colaboradores a menos que sea necesario.
  3. Política de Seguridad de Contenido (CSP)
    Implementa un encabezado CSP robusto para reducir el impacto de scripts inyectados (ten en cuenta que CSP no es un reemplazo para el escape adecuado, sino una capa adicional).
  4. Endurecer cookies y sesiones
    Asegúrese de que las cookies de sesión sean solo HTTP y seguras; establezca atributos SameSite para mitigar los riesgos de CSRF.
  5. Pruebas de seguridad y escaneos automatizados
    Escaneos automatizados periódicos (estáticos y dinámicos) más una revisión de código para plugins y temas de alto riesgo.
  6. Uso controlado de plugins
    Elimine o reemplace plugins no mantenidos. Prefiera plugins que sigan las mejores prácticas de seguridad de WordPress y que estén activamente mantenidos.
  7. Monitoreo y registro
    Monitoree la actividad del usuario, la integridad de los archivos y las alertas de WAF. Envíe alertas de alta fidelidad a su equipo de seguridad.
  8. Copias de seguridad
    Copias de seguridad diarias con procedimientos de restauración probados. Las instantáneas deben cubrir la base de datos y los archivos.

Cómo WP‑Firewall ayuda (y cómo comenzar gratis)

WP‑Firewall protege los sitios de WordPress a través de controles en capas que se mapean directamente a los tipos de riesgos descritos anteriormente: reglas de WAF gestionadas (incluidas parches virtuales para vulnerabilidades emergentes de plugins), escaneo y eliminación de malware, filtrado consciente de roles y solicitudes, y alertas de seguridad adaptadas a los flujos de trabajo de administración.

Si desea reducir su exposición ahora mismo y probar un WAF gestionado y un escáner, ofrecemos un plan Básico gratuito que es perfecto para protección y pruebas inmediatas.

Protege tu sitio gratis — Comienza con WP‑Firewall Basic

Nuestro plan Básico (Gratis) proporciona protección esencial para detener ataques comunes y reducir el riesgo de vulnerabilidades basadas en plugins:

  • Protección esencial: firewall gestionado y WAF
  • Ancho de banda ilimitado bajo protección
  • Escáner de malware para detectar scripts inyectados y archivos sospechosos
  • Medidas de mitigación para los 10 principales riesgos de OWASP

Si desea el siguiente nivel de automatización y control, nuestro plan Estándar agrega eliminación automática de malware y una simple lista negra/blanca de IP. Para equipos que necesitan cobertura proactiva de vulnerabilidades e informes, nuestro plan Pro incluye informes de seguridad mensuales, parcheo virtual automático y complementos de soporte premium.

Regístrate para el plan gratuito o compara planes aquí:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Puede habilitar el firewall rápidamente y aplicar parches virtuales que mitigan patrones XSS basados en shortcode mientras actualiza o elimina instancias de plugins.)

Consultas y comandos de caza prácticos

Aquí hay consultas y comandos seguros a nivel de administrador para buscar en su sitio: use con cuidado y preferiblemente en una copia de staging si tiene un sitio muy grande.

  • Búsqueda de WP-CLI para ocurrencias de shortcode: 
    # Encuentra publicaciones que contengan '[' seguido del nombre de la etiqueta de shortcode esperada 'schema'
  • SQL para encontrar tokens sospechosos: 
    SELECT ID, post_title, post_author, post_date;
  • Liste la actividad reciente por rol de Contribuyente: 
    // En PHP o a través de una pequeña página de administración - pseudocódigo

Lista de verificación: acciones rápidas a tomar ahora mismo

  • Identificar todos los sitios que utilizan el plugin vulnerable y listar las versiones del plugin.
  • Si hay un parche disponible, actualizar inmediatamente.
  • Si no hay un parche disponible, desactivar el plugin o eliminar temporalmente el manejador de shortcode.
  • Escanear publicaciones (incluidas las revisiones) en busca de cadenas similares a scripts y shortcodes.
  • Restringir los flujos de trabajo de publicación de los colaboradores y evitar vistas previas de contenido no confiable en el administrador.
  • Aplicar parches virtuales WAF que bloqueen tokens relacionados con scripts del contenido originado por colaboradores.
  • Rotar credenciales e invalidar sesiones si sospechas de exposición del administrador.
  • Verificar que las copias de seguridad estén intactas y probar un plan de recuperación.

Reflexiones finales

Este problema de XSS almacenado es un ejemplo perfecto de por qué incluso los roles de bajo privilegio se convierten en una ruta de ataque si se pasa contenido no confiable a través de un plugin que no sanitiza estrictamente la salida. Las defensas que se centran únicamente en el filtrado perimetral pasan por alto el riesgo interno de los flujos de trabajo de contenido: los colaboradores pueden ser mal utilizados, y el navegador es un poderoso entorno de ejecución.

Actualizaciones rápidas y parches virtuales basados en WAF reducen drásticamente el riesgo inmediato. Pero los mejores resultados combinan contención a corto plazo (desactivar o parchear el plugin, aplicar reglas WAF) con cambios a largo plazo: menor privilegio, controles editoriales y correcciones a nivel de código que sanitizan y escapan en el punto de salida.

Si deseas asistencia para auditar tus sitios en busca de exposición o configurar parches virtuales que mitiguen específicamente XSS basados en shortcode y contenido sin afectar el tráfico legítimo, WP‑Firewall puede ayudar. Comienza con nuestra protección básica gratuita y avanza si deseas eliminación automática y parcheo virtual gestionado.

Mantente seguro y trata cada plugin que renderiza contenido con una sana sospecha hasta que hayas validado sus prácticas de sanitización de salida.

— Equipo de seguridad de firewall de WP

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™