XSS critique dans le plugin Shortcodes Ultimate//Publié le 2026-04-01//CVE-2026-2480

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Shortcodes Ultimate CVE-2026-2480

Nom du plugin Shortcodes Ultimate
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-2480
Urgence Faible
Date de publication du CVE 2026-04-01
URL source CVE-2026-2480

Vulnérabilité XSS stockée dans Shortcodes Ultimate (CVE-2026-2480) — Ce que les propriétaires de sites et les développeurs doivent faire maintenant

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-04-01
Mots clés: WordPress, sécurité, vulnérabilité, XSS, Shortcodes Ultimate, WAF

TL;DR (résumé rapide)

Une vulnérabilité de Cross-Site Scripting (XSS) stockée (CVE-2026-2480) a été divulguée dans le plugin WordPress “Shortcodes Ultimate” affectant les versions <= 7.4.10. Un utilisateur authentifié avec des privilèges de niveau Contributeur (ou supérieur) peut injecter du JavaScript malveillant via le max_width attribut de shortcode. Le problème est corrigé dans Shortcodes Ultimate 7.5.0.

Ce que vous devez faire dès maintenant :

  • Mettez à jour Shortcodes Ultimate vers la version 7.5.0 ou ultérieure immédiatement.
  • Si vous ne pouvez pas mettre à jour tout de suite, appliquez des mesures d'atténuation temporaires : restreindre l'accès des contributeurs, désactiver le rendu des shortcodes pour le contenu non fiable, ou appliquer un patch virtuel avec une règle de pare-feu d'application Web (WAF).
  • Scannez votre site à la recherche de charges utiles de shortcode injectées et de signes de compromission, et suivez une procédure de nettoyage si du contenu malveillant est trouvé.

Cet article explique la vulnérabilité, les scénarios d'impact, les étapes de détection et de remédiation, les corrections de développement et les règles WAF que vous pouvez appliquer pendant que vous corrigez. Il est rédigé du point de vue de l'équipe WP-Firewall — des conseils pratiques et directs sur lesquels vous pouvez agir dès aujourd'hui.

Aperçu : ce qui s'est passé et pourquoi cela compte

Shortcodes Ultimate est un plugin WordPress largement utilisé qui fournit de nombreux shortcodes pour créer des éléments de contenu (onglets, boutons, boîtes, etc.). La vulnérabilité signalée permet à un utilisateur authentifié avec des privilèges de Contributeur de sauvegarder un article ou une page qui inclut un shortcode conçu dont max_width l'attribut contient une charge utile qui exécutera du JavaScript lorsque la page est rendue (XSS stocké). Comme la charge utile est stockée dans la base de données du site, elle peut s'exécuter chaque fois qu'un administrateur, un éditeur ou tout visiteur de la page (selon comment et où le shortcode est rendu) consulte le contenu affecté.

Détails clés

  • Plugin affecté : Shortcodes Ultimate
  • Versions affectées : <= 7.4.10
  • Corrigé dans : 7.5.0
  • Type de vulnérabilité : Cross-Site Scripting (XSS) stocké
  • CVE : CVE-2026-2480
  • Privilège requis : Contributeur (authentifié)
  • Interaction utilisateur : Requise (un utilisateur privilégié peut avoir besoin de visualiser ou d'interagir avec le contenu pour une exploitation complète)
  • CVSS : ~6.5 (moyenne)

Pourquoi c'est important

  • Le XSS stocké est dangereux car les scripts injectés persistent dans la base de données du site et s'exécutent plus tard lorsque le contenu est rendu. Cela peut entraîner un compromis de compte administrateur, une défiguration du site, du phishing, des redirections non désirées ou la livraison de logiciels malveillants supplémentaires.
  • Les utilisateurs de niveau contributeur sont souvent présents sur des sites communautaires ou des flux de travail éditoriaux. Même si les contributeurs ne peuvent pas publier directement, ils peuvent préparer du contenu qui peut être prévisualisé ou publié par des utilisateurs ayant des privilèges supérieurs.
  • Les attaquants peuvent cibler en masse plusieurs sites utilisant le plugin vulnérable avec la même technique.

Comment la vulnérabilité fonctionne (niveau élevé, pas de code d'exploitation)

Les shortcodes sont stockés sous forme de texte dans le contenu des publications (la base de données), et lorsque WordPress rend le contenu, le gestionnaire de shortcodes reçoit des attributs du tag shortcode enregistré. Si un plugin ne valide pas correctement et n'échappe pas aux attributs avant de les afficher dans le HTML, un attaquant peut injecter du JavaScript via des valeurs d'attribut spécialement conçues.

Dans ce cas, l'attribut vulnérable est max_width. Au lieu de fournir une valeur numérique bénigne (par exemple, 300px), un attaquant pourrait fournir une valeur d'attribut qui inclut des caractères permettant d'injecter du HTML ou du JavaScript lorsque le plugin affiche cet attribut dans un attribut HTML ou un style en ligne.

Modes de défaillance clés qui mènent au XSS stocké :

  • Validation insuffisante des valeurs d'attribut (acceptation de chaînes arbitraires).
  • Affichage direct des valeurs d'attribut dans le HTML sans échappement.
  • Sauvegarde de données contrôlées par l'attaquant dans post_content où elles seront ensuite rendues comme partie de la page.

Scénario d'exploitation (typique) :

  1. L'attaquant crée ou édite une publication (l'accès contributeur est suffisant).
  2. L'attaquant insère (sauvegarde) un shortcode contenant un malveillant max_width valeur.
  3. Un utilisateur ayant des privilèges supérieurs (éditeur, administrateur) prévisualise ou consulte la page dans la partie admin ou publique ; le JavaScript malveillant s'exécute dans son navigateur.
  4. Le script vole des cookies de session, effectue des actions au nom de cet utilisateur dans le contexte admin, exfiltre des données ou injecte d'autres portes dérobées.

En raison de la nature stockée, l'attaque peut persister et affecter de nombreux utilisateurs au fil du temps.

Qui est à risque ?

  • Les sites utilisant Shortcodes Ultimate aux versions <= 7.4.10.
  • Sites qui permettent des inscriptions au niveau contributeur ou supérieur sans modération stricte.
  • Sites où les flux de travail éditoriaux permettent aux utilisateurs privilégiés de prévisualiser le contenu créé par les contributeurs.
  • Les blogs multi-auteurs, les sites d'adhésion, les sites éducatifs et tout site avec du contenu généré par les utilisateurs peuvent être particulièrement exposés.

Si vous hébergez plusieurs sites WordPress, vérifiez chaque site pour la version de plugin vulnérable et si des contributeurs existent.

Actions immédiates pour les propriétaires de sites (liste de contrôle prioritaire)

  1. Mettre à jour le plugin
    Mettez à jour Shortcodes Ultimate vers 7.5.0 ou une version ultérieure immédiatement. C'est la solution la plus efficace.
  2. Si vous ne pouvez pas effectuer la mise à jour immédiatement, appliquez des mesures d'atténuation temporaires :

    • Désactivez ou désactivez Shortcodes Ultimate jusqu'à ce que vous puissiez appliquer un correctif.
    • Supprimez la possibilité d'inscriptions de nouveaux utilisateurs au rôle de Contributeur, ou définissez temporairement les nouveaux utilisateurs sur un rôle par défaut plus sûr.
    • Restreignez les contributeurs de créer ou d'éditer des shortcodes. Auditez et modérez toutes les nouvelles contributions.
    • Utilisez un WAF pour corriger virtuellement la vulnérabilité (voir les conseils WAF ci-dessous).
    • Désactivez le rendu des shortcodes dans l'aperçu de l'éditeur pour les rôles non fiables (si possible).
  3. Scannez à la recherche de charges utiles malveillantes stockées.

    • Recherchez des publications et des pages pour des occurrences des attributs de shortcode affectés et des caractères suspects. Voir les conseils de scan ci-dessous.
    • Si des charges utiles malveillantes sont trouvées, traitez votre site comme potentiellement compromis et suivez la liste de contrôle de nettoyage.
  4. Changez les identifiants sensibles.

    • Faites tourner les mots de passe pour les comptes administrateurs et tout autre utilisateur à privilèges élevés si un compromis est suspecté.
    • Révoquez et réémettez toutes les clés API ou jetons d'intégration qui ont pu être exposés.
  5. Surveillez et enregistrez

    • Augmentez la surveillance des connexions administratives, de l'activité des comptes et de la création de nouveaux utilisateurs administrateurs.
    • Auditez les journaux d'accès pour des demandes suspectes.

Détection des charges utiles injectées et des signes d'exploitation.

Recherchez les indicateurs suivants de compromission (IOC) ou de contenu suspect :

  • Publiez du contenu contenant des balises Shortcodes Ultimate avec max_width attributs qui incluent des caractères inattendus (guillemets, chevrons, chaînes “javascript:”, charges utiles encodées comme , , ).
  • Nouveaux posts ou posts modifiés par des comptes contributeurs qui incluent des shortcodes avec des valeurs d'attribut complexes.
  • Comportement inattendu de l'interface admin après avoir consulté ou prévisualisé un post (redirections, pop-ups).
  • Sessions admin se terminant de manière inattendue ou comptes admin effectuant des actions non initiées par l'admin.

Recherches pratiques

  • Utilisation de WP-CLI (sur le serveur) pour rechercher des attributs suspects :
    • Exporter le contenu et grep pour les occurrences de “ max_width ” : 
      wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%max_width%';"
    • Ou extraire le contenu des posts et exécuter un appariement de motifs plus avancé : 
      wp post list --post_type=post,page --format=ids | xargs -n1 -I% sh -c "wp post get % --field=post_content | grep -n 'max_width' && echo '--- post % ---'"
  • Utilisez une regex pour trouver des valeurs max_width qui contiennent des caractères autres que des chiffres, des espaces, “ px ” ou “ % ”. Exemple de concept regex (ne pas utiliser aveuglément ; adapter à votre site) : 
     /max_width\s*=\s*"(?!\d+(?:px|%)?)[^"]+"/

    Cela signale des valeurs qui ne sont pas des unités numériques simples.

Note: Faites attention lors de l'analyse — faites correspondre le contexte et confirmez visuellement les correspondances avant de modifier massivement le contenu.

Liste de contrôle de nettoyage (si injection trouvée ou compromission suspectée)

  1. Mettez immédiatement à jour le plugin vers 7.5.0 ou une version ultérieure (si ce n'est pas déjà fait) ou désactivez le plugin.
  2. Identifiez tous les posts/pages avec l'attribut shortcode malveillant et soit :
    • Supprimez l'entrée shortcode entière si elle n'est pas nécessaire ; ou
    • Nettoyez le max_width attribut afin qu'il ne contienne que des valeurs sûres (par exemple, 300px ou 80%).
  3. Exportez une copie des publications affectées pour une analyse judiciaire.
  4. Examinez tous les comptes utilisateurs (en particulier les contributeurs) qui ont créé ou modifié ces publications — désactivez ou réinitialisez les comptes suspects.
  5. Réinitialisez les mots de passe administratifs et invalidez les sessions :
    • Déconnectez tous les utilisateurs et réémettez des mots de passe pour les utilisateurs à privilèges élevés.
  6. Scannez le site avec un scanner de malware réputé et examinez les fichiers principaux et les fichiers de plugin pour des modifications non autorisées.
  7. Vérifiez la persistance : recherchez de nouveaux utilisateurs administrateurs, des fichiers de thème modifiés, de nouvelles tâches planifiées (cron jobs), des fichiers PHP inconnus dans les téléchargements, ou des mu-plugins altérés.
  8. Restaurez à partir d'une sauvegarde propre si vous détectez une compromission plus profonde ou des portes dérobées persistantes.
  9. Signalez l'incident à votre fournisseur d'hébergement et suivez leurs procédures de réponse aux violations si applicable.

Conseils pour les développeurs : comment corriger le code des plugins en toute sécurité

Si vous maintenez du code qui gère des shortcodes (soit dans Shortcodes Ultimate soit dans un shortcode personnalisé), suivez des pratiques d'entrée et de sortie sûres :

  1. Validez les attributs à l'entrée
    • Acceptez uniquement une liste blanche stricte pour max_width, par exemple des nombres avec des unités optionnelles (px ou %).
    • Validation d'exemple (conceptuelle) :
      • Accepter le motif : ^\d+(?:\.\d+)?(?:px|%)?$
      • Si la valeur ne correspond pas, revenez à une valeur par défaut sûre (par exemple, 100% ou une chaîne vide).
  2. Assainissez et échappez à la sortie
    • Échappez les attributs avec des fonctions d'échappement appropriées lors de la construction de HTML : esc_attr() pour les attributs HTML ; esc_html() pour le texte interne ; esc_url() pour les URL.
    • Lors de l'injection de valeurs dans les attributs de style CSS, utilisez esc_attr() après avoir validé les unités.
  3. Préférez des données sûres en termes de type
    • Convertissez les largeurs numériques en entiers et ajoutez l'unité côté serveur, plutôt que de faire confiance à une chaîne d'unité fournie par l'utilisateur.
  4. KSES / HTML autorisé
    • Utiliser wp_kses() pour supprimer les HTML et attributs non autorisés lors de l'enregistrement ou du rendu du contenu fourni par l'utilisateur.
  5. Exemple de snippet sécurisé (conceptuel — adaptez-le à votre plugin)
fonction my_su_shortcode_handler( $atts ) {'<div class="su-example"' . $style>'$atts = shortcode_atts( array('</div>';
}

Cette approche valide le format et garantit que tout attribut injecté dans le HTML est échappé.

WAF (Web Application Firewall) et conseils de patching virtuel

Si vous ne pouvez pas mettre à jour immédiatement ou si vous souhaitez ajouter une défense en profondeur, utilisez des règles WAF pour détecter et bloquer les tentatives d'exploitation de la vulnérabilité.

Recommandations générales de règles WAF

  • Bloquez les requêtes POST vers les points de terminaison utilisés pour enregistrer du contenu (par exemple, admin-ajax, points de terminaison d'édition de publication) qui contiennent des valeurs suspectes max_width (non numériques, contenant , des guillemets avec JavaScript :, onerror=, onload=).
  • Supprimez ou rejetez les attributs de shortcode contenant des caractères de contrôle ou des caractères encodés (%3C, %3E, %22) qui sont couramment utilisés pour obscurcir les charges utiles.
  • Bloquez les caractères à haut risque dans les attributs pour les utilisateurs ayant des privilèges inférieurs (par exemple, Contributeurs).
  • Limitez le taux des tentatives de sauvegarde répétées du même utilisateur/IP pour prévenir les tentatives d'exploitation automatisées.

Exemples de modèles de signatures WAF (conceptuel — ne pas utiliser ces verbatim sans test) :

  • Faire correspondre les corps de requête avec max_width contenant : 
    max_width\s*=\s*["'][^"']*[<>][^"']*["']
  • Faire correspondre les chevrons ou les guillemets encodés : 
    %3[cC]|%3[eE]|
  • Bloquer ou alerter sur les attributs contenant JavaScript : ou données : des URI.

Important lors du déploiement des règles :

  • Toujours tester en mode “ surveillance ” ou “ journal uniquement ” avant de bloquer sur l'ensemble du site pour éviter les faux positifs.
  • Appliquer les règles de manière plus agressive pour les utilisateurs non fiables ou à faible privilège tout en permettant plus de tolérance aux utilisateurs de confiance.
  • Préférer bloquer la surface d'attaque spécifique (l' max_width attribut) plutôt que de bloquer de manière large, ce qui peut perturber le comportement normal du site.

Clients de WP-Firewall : la capacité de patch virtuel peut vous permettre de déployer une règle ciblant les modèles XSS stockés dans l'attribut de shortcode affecté jusqu'à ce que le site soit mis à jour. Le patch virtuel est particulièrement utile dans les environnements où les mises à jour de plugins sont retardées.

Durcissement et mesures d'atténuation à long terme

  1. Principe du moindre privilège
    • Restreindre les rôles et les capacités : les contributeurs ne devraient pas se voir accorder plus de droits que nécessaire.
    • Utiliser des plugins de gestion des rôles ou du code personnalisé pour supprimer les capacités risquées des rôles à faible privilège.
  2. Flux de travail de modération de contenu
    • Exiger l'approbation de l'éditeur avant que les publications fournies par les contributeurs ne soient publiées.
    • Désactiver les aperçus front-end pour le contenu produit par des contributeurs si cela entraîne une élévation de privilèges.
  3. Assainissement des entrées au moment de l'enregistrement
    • Mettre en œuvre des filtres côté serveur qui assainissent le contenu des publications avant l'enregistrement, en particulier les champs qui incluent des shortcodes ou du HTML.
  4. CSP (Politique de sécurité du contenu)
    • Mettez en œuvre une CSP stricte qui réduit l'impact des XSS réfléchis et stockés (par exemple, interdire les scripts en ligne, restreindre les origines des scripts). C'est une défense en profondeur mais cela ne peut pas remplacer une désinfection appropriée côté serveur.
  5. Mises à jour automatiques et fenêtres de maintenance
    • Gardez les plugins et le cœur de WordPress à jour. Si la mise à jour automatique est disponible et fiable, activez-la pour les mises à jour de sécurité critiques.
  6. Analyse régulière et détection automatisée
    • Planifiez des analyses régulières du contenu et du système de fichiers pour détecter des indicateurs de compromission.
    • Utilisez la détection d'anomalies pour identifier un comportement de compte inhabituel.
  7. Sauvegardes et réponse aux incidents
    • Maintenez des sauvegardes récentes hors site et testez les restaurations régulièrement.
    • Ayez un plan de réponse aux incidents et un contact chez votre fournisseur d'hébergement pour une assistance d'urgence.

Comment un attaquant pourrait tirer parti des XSS stockés au-delà de l'évidence

Les XSS stockés peuvent être un tremplin vers des résultats plus destructeurs :

  • Capture de session et prise de contrôle de compte : Voler des cookies ou des jetons du navigateur d'un administrateur peut conduire à une prise de contrôle complète du compte.
  • Mouvement latéral : Une fois qu'un compte administrateur est compromis, un attaquant peut installer des portes dérobées, créer de nouveaux comptes administrateurs ou modifier les paramètres et le contenu du site.
  • Empoisonnement SEO et distribution de logiciels malveillants : Injecter des scripts pour rediriger les visiteurs vers des sites de logiciels malveillants ou pour insérer des liens de spam dissimulés.
  • Abus de la chaîne d'approvisionnement : Si l'administrateur compromis a accès aux identifiants de développeur ou de déploiement, l'attaquant pourrait pousser du code malveillant vers d'autres sites.

En raison de ces possibilités, traitez un XSS stocké confirmé comme un incident grave et effectuez un cycle complet d'analyse judiciaire et de nettoyage.

Requêtes de détection des meilleures pratiques (exemples)

  • Trouvez des publications avec des occurrences de max_width: 
    SELECT ID, post_title FROM wp_posts;
  • Détecter des valeurs non numériques max_width (approximatives) : 
    SELECT ID, post_title FROM wp_posts;

    (Remarque : la syntaxe et les motifs REGEXP varieront selon la version de MySQL et le format du contenu ; testez les requêtes sur des copies non-production.)

  • Utilisez un script WP-CLI pour récupérer le contenu et effectuer un appariement regex dans un environnement contrôlé : 
    wp post list --post_type=post,page --format=ids | while read id; do

Liste de contrôle de l'opérateur de site (une page)

  • ☐ Mettre à jour Shortcodes Ultimate vers 7.5.0 ou une version ultérieure.
  • ☐ Si vous ne pouvez pas mettre à jour, désactivez le plugin ou appliquez un patch virtuel WAF.
  • ☐ Recherchez et auditez tous les posts contenant max_width attributs.
  • ☐ Assainissez ou supprimez les attributs de shortcode suspects.
  • ☐ Réinitialisez les mots de passe des utilisateurs à privilèges élevés si vous soupçonnez qu'un admin a consulté du contenu injecté.
  • ☐ Examinez les comptes utilisateurs pour des contributeurs suspects et désactivez si nécessaire.
  • ☐ Scannez les fichiers du site à la recherche de portes dérobées et de modifications non autorisées.
  • ☐ Appliquez le principe du moindre privilège et renforcez les workflows d'inscription.
  • ☐ Mettez en œuvre CSP et autres durcissements lorsque cela est approprié.
  • ☐ Planifiez un examen de sécurité des autres plugins tiers et du code personnalisé.

Pour les hébergeurs et les agences : mises à jour de politique recommandées

  • Appliquez des politiques de mise à jour des plugins pour les clients gérés ; traitez les mises à jour des plugins avec une haute priorité lors de la publication de correctifs de sécurité.
  • Offrez des mécanismes de modération de contenu et de prévisualisation sécurisée où le contenu des contributeurs est mis en scène et assaini avant d'être montré aux utilisateurs privilégiés.
  • Fournissez aux propriétaires de sites l'option d'activer le patch virtuel ou les règles d'urgence WAF immédiatement après une divulgation de vulnérabilité.
  • Éduquez les clients sur le risque d'autoriser des rôles de contributeur et d'auteur sur des sites publics sans modération.

Commencez avec la Protection Gérée Gratuite — Plan de Base WP-Firewall

Si vous n'êtes pas déjà protégé par un pare-feu géré, envisagez de commencer avec notre plan de base WP-Firewall (gratuit) pour obtenir des protections essentielles immédiates. Le plan de base comprend un pare-feu géré, un pare-feu d'application Web (WAF), une analyse de logiciels malveillants, une protection contre la bande passante illimitée et des atténuations pour les risques OWASP Top 10 — tout ce dont vous avez besoin comme défense de base pendant que vous prenez les mesures de remédiation ci-dessus.

Des options de mise à niveau sont disponibles si vous souhaitez une suppression automatique des logiciels malveillants, un blocage/autorisation d'IP, un patch virtuel de vulnérabilités, des rapports de sécurité mensuels et des services gérés. En savoir plus et inscrivez-vous au plan gratuit ici :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Raisons d'essayer le plan gratuit aujourd'hui : capacité de patching virtuel immédiate, analyse automatisée du contenu et des fichiers, et un WAF qui réduit votre surface d'attaque pendant que vous corrigez les plugins.)

Réflexions finales

Les vulnérabilités XSS stockées comme CVE-2026-2480 rappellent que le contenu fourni par les utilisateurs — même lorsqu'il est créé par des utilisateurs avec des privilèges limités — peut devenir une menace à l'échelle du site s'il n'est pas correctement géré. Le correctif dans Shortcodes Ultimate 7.5.0 résout le problème ; mettez à jour maintenant. Si vous ne pouvez pas appliquer le correctif immédiatement, prenez des mesures défensives : restreignez les capacités des contributeurs, scannez le contenu à la recherche de shortcodes suspects, appliquez des patches virtuels WAF et renforcez votre site avec des contrôles de sécurité standard (moindre privilège, CSP, surveillance, sauvegardes).

Si vous avez besoin d'aide pour trier les sites affectés, rechercher des indicateurs ou déployer un patch virtuel pendant que vous mettez à jour, WP-Firewall fournit à la fois les outils et les services d'experts pour sécuriser rapidement les sites. Visitez https://my.wp-firewall.com/buy/wp-firewall-free-plan/ pour commencer avec le plan de base et évaluer les protections gérées pour votre environnement.

Annexe : Ressources et références utiles

  • Shortcodes Ultimate : mises à jour du plugin et journal des modifications (vérifiez la page du plugin sur WordPress.org)
  • CVE : CVE-2026-2480 (recherchez les listes CVE officielles pour plus de détails)
  • Manuel du développeur WordPress : shortcodes et meilleures pratiques de sécurité
  • OWASP : feuille de triche pour la prévention des XSS
  • Documentation WP-CLI (utile pour rechercher et automatiser les audits de contenu)

Si vous souhaitez qu'un technicien de WP-Firewall scanne votre site à la recherche de traces d'injection de Shortcodes Ultimate et aide à un nettoyage sûr, contactez-nous via nos canaux de support listés après votre inscription à un plan gratuit. Nous pouvons aider avec le patching virtuel, la désinfection sécurisée du contenu et un plan de remédiation adapté à votre site.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™