La vulnérabilité XCloner expose des données sensibles//Publié le 2026-06-05//CVE-2026-48965

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

XCloner Vulnerability CVE-2026-48965

Nom du plugin XCloner
Type de vulnérabilité Exposition de données sensibles
Numéro CVE CVE-2026-48965
Urgence Moyen
Date de publication du CVE 2026-06-05
URL source CVE-2026-48965

Alerte de sécurité : CVE-2026-48965 — XCloner (<=4.8.6) Exposition de données sensibles — Ce que les clients de WP-Firewall doivent savoir

Analyse technique, évaluation des risques, détection, atténuation et conseils de réponse aux incidents de WP-Firewall pour la vulnérabilité du plugin XCloner (CVE-2026-48965).

Publié le : 2026-06-05

Auteur : Équipe de sécurité WP-Firewall

Résumé : Une vulnérabilité d'exposition de données sensibles (CVE-2026-48965) affectant le plugin WordPress XCloner (versions <= 4.8.6) a été divulguée et corrigée dans la version 4.8.7. Le problème permet aux utilisateurs à faibles privilèges (rôle d'abonné) d'accéder à des informations qu'ils ne devraient pas pouvoir lire. En tant que fournisseur professionnel de WAF WordPress, WP-Firewall a produit des conseils pour la détection, l'atténuation et la récupération — y compris un correctif virtuel immédiat que vous pouvez appliquer si vous ne pouvez pas mettre à jour immédiatement.

Table des matières

  • Que s'est-il passé (en bref)
  • Pourquoi cela importe aux propriétaires de sites WordPress
  • Remédiation rapide — que faire dès maintenant (liste de contrôle exécutive)
  • Contexte technique (ce que nous savons sur CVE-2026-48965)
  • Comment les attaquants peuvent exploiter les vulnérabilités d'exposition de données sensibles
  • Détection : comment vérifier l'impact sur votre site
  • Correctif virtuel / atténuation WAF : règles et conseils
  • Corrections recommandées à long terme et durcissement
  • Manuel de réponse aux incidents (si vous découvrez un compromis ou une fuite de données sensibles)
  • Remédiation et surveillance post-incident
  • Foire aux questions
  • Une offre WP-Firewall pour les propriétaires de sites

Que s'est-il passé (en bref)

Le 3 juin 2026, une vulnérabilité affectant XCloner (slug du plugin : xcloner-backup-and-restore) a été divulguée publiquement et a reçu le CVE-2026-48965. Le problème a été classé comme une exposition de données sensibles avec un CVSS de 6.5. Le fournisseur a publié la version 4.8.7 pour résoudre le problème.

La vulnérabilité a permis aux comptes avec des privilèges de niveau Abonné d'accéder à des données qu'ils ne sont normalement pas autorisés à voir. Cela peut inclure des configurations, des liens de sauvegarde, des données sensibles de plugins ou d'autres sorties protégées selon la manière dont le plugin a été utilisé sur un site.

Si vous utilisez XCloner sur vos installations WordPress, mettez à jour vers 4.8.7 ou une version ultérieure immédiatement. Si vous ne pouvez pas mettre à jour tout de suite (par exemple : mise en scène/test, intégrations personnalisées, ou sites clients nécessitant une validation), appliquez les conseils de correctif virtuel ci-dessous.

Pourquoi cela importe aux propriétaires de sites WordPress

  • Les plugins de sauvegarde et de restauration détiennent ou créent un accès à des données potentiellement sensibles (dumps de base de données, fichiers de configuration, liens d'archive). L'exposition de ces objets donne aux attaquants un chemin rapide pour escalader davantage.
  • L'abus au niveau des abonnés est dangereux précisément parce qu'il exploite des comptes qui existent souvent sur des sites à auteurs multiples ou d'adhésion. La surface d'attaque augmente lorsque des comptes à faible privilège peuvent divulguer des informations sensibles.
  • Les scanners automatisés et les outils d'exploitation de masse ciblent fréquemment les plugins vulnérables en masse — tout site accessible publiquement avec le plugin vulnérable peut être sondé et exploité.
  • Au-delà de l'exposition des données, les informations sensibles peuvent permettre des attaques ultérieures : vol de données d'identification, mouvement latéral, dumps de base de données et prises de contrôle complètes de sites.

Remédiation rapide — que faire dès maintenant (liste de contrôle exécutive)

  1. Mettez à jour XCloner vers 4.8.7 ou une version ultérieure sur chaque site affecté.
    • Si vous gérez de nombreux sites, planifiez des mises à jour prioritaires ou utilisez une automatisation qui respecte la mise en scène/test.
  2. Si une mise à jour immédiate n'est pas possible, appliquez le correctif virtuel WP-Firewall (règle WAF) ci-dessous pour bloquer les tentatives d'exploitation.
  3. Scannez votre site à la recherche de preuves d'accès aux données ou de téléchargements inhabituels (voir la section Détection).
  4. Faites tourner tous les identifiants ou clés API qui pourraient être exposés par les sauvegardes XCloner ou les exports de configuration.
  5. Effectuez une analyse complète des logiciels malveillants et un contrôle d'intégrité du cœur de WordPress, des plugins et des thèmes.
  6. Si vous trouvez une activité suspecte, suivez le plan d'intervention en cas d'incident dans ce guide.

Contexte technique — ce que nous savons sur CVE-2026-48965

  • Logiciel affecté : plugin WordPress “XCloner” (xcloner-backup-and-restore)
  • Versions vulnérables : <= 4.8.6
  • Version corrigée : 4.8.7
  • Type de vulnérabilité : Exposition de données sensibles (OWASP A3 / Divulgation d'informations)
  • CVE : CVE-2026-48965
  • Correctif : correction fournie par le fournisseur dans 4.8.7
  • Privilège requis pour exploiter : Abonné (faible privilège)

La divulgation indique que certains points de terminaison ou chemins de code de plugin ne restreignaient pas adéquatement quels rôles d'utilisateur pouvaient accéder à des sorties spécifiques (par exemple, métadonnées de sauvegarde, URLs ou état interne). Les chemins de code internes exacts sont corrigés dans le correctif, mais le risque demeure jusqu'à ce que les sites soient mis à jour.

Parce qu'un attaquant avec juste un compte d'abonné peut déclencher l'exposition, la vulnérabilité est particulièrement dangereuse sur des sites avec des comptes publics ou facilement créés (forums, portails communautaires, sites d'adhésion).

Comment les attaquants pourraient utiliser une exposition de données sensibles pour escalader.

Voici des chaînes d'attaque plausibles qu'un adversaire pourrait réaliser après avoir exploité une telle vulnérabilité :

  • Récupérer des liens de sauvegarde ou des URL d'archive temporaires — télécharger des sauvegardes complètes du site et obtenir des identifiants ou des configurations.
  • Exposer des dumps de base de données ou du contenu partiel de la base de données — récupérer des mots de passe hachés et tenter de les craquer hors ligne.
  • Obtenir des paramètres de plugin qui incluent des clés API, des identifiants SMTP ou des clés de fournisseur de stockage.
  • Utiliser des informations divulguées pour élaborer des tentatives d'escalade de privilèges ciblées (par exemple, identifier des points de terminaison administratifs, prédire des tâches cron).
  • Combiner avec d'autres vulnérabilités (par exemple, le cross-site scripting) pour exécuter du code ou maintenir l'accès.

Même si la fuite spécifique est limitée, les informations peuvent être utilisées comme reconnaissance pour des actions plus destructrices.

Détection : Comment vérifier l'impact sur vos sites

Vous devez à la fois (A) vérifier si le plugin vulnérable et la version existent sur votre site et (B) rechercher des preuves que quelqu'un aurait pu l'exploiter.

  1. Identifier les installations et les versions
    • Admin WordPress : Plugins -> Plugins installés -> trouver “XCloner”
    • CLI (si vous avez shell/SSH et WP-CLI) :
      • wp plugin list --format=json | jq -r '.[] | select(.name|ascii_downcase|contains("xcloner"))'
      • wp plugin get xcloner-backup-and-restore --field=version
  2. Vérification du système de fichiers
    • Recherchez le dossier du plugin : wp-content/plugins/xcloner-backup-and-restore
    • Recherchez des points de terminaison suspects ou des noms d'actions AJAX qui pourraient correspondre au problème :
      • grep -R --line-number "xcloner" wp-content/plugins/xcloner-backup-and-restore
  3. Journaux d'accès Web (critique)
    • Recherchez des demandes inhabituelles vers des chemins de plugin ou des paramètres qui ressemblent à des tentatives de sonde. Par exemple :
      • Requêtes GET/POST ciblant /wp-content/plugins/xcloner-backup-and-restore/*
      • Requêtes avec des paramètres indiquant des points de téléchargement ou d'exportation de sauvegarde.
    • Utilisez la période depuis la divulgation (et plus tôt) pour rechercher.
    • Exemple de grep de journal (Linux) :
      • grep -i "xcloner" /var/log/apache2/access.log* /var/log/nginx/access.log*
  4. Journaux d'activité WordPress
    • Si vous avez une journalisation des activités (journaux d'audit), recherchez des actions effectuées par des comptes d'abonnés qui ont créé des téléchargements, des exports ou des événements de génération de liens.
  5. Inspection de l'intégrité du système de fichiers / sauvegarde
    • Vérifiez les archives de sauvegarde récemment créées dans les répertoires de téléchargements ou de plugins temporaires. Les attaquants peuvent déclencher des sauvegardes immédiates ou demander des archives générées.
  6. Analyse de logiciels malveillants / d'intégrité
    • Exécutez vos scanners habituels. Faites attention aux nouveaux utilisateurs administrateurs, aux fichiers principaux modifiés, aux tâches planifiées inconnues (entrées cron) et aux connexions sortantes.

Indicateurs de compromission (IoC) à rechercher :

  • Fichiers d'archive de sauvegarde inattendus dans wp-content/uploads ou wp-content/plugins/xcloner-backup-and-restore/backups.
  • Requêtes incluant des paramètres de requête liant à la configuration interne (par exemple, file=, téléchargement=, archive=).
  • Comptes d'abonnés effectuant des appels API ou des téléchargements inhabituels.
  • Transferts de données sortants vers des hôtes inconnus (si des journaux de serveur sont disponibles).

Si l'un de ces éléments est présent, considérez l'instance comme potentiellement compromise et suivez le plan d'incidents ci-dessous.

Patch virtuel / atténuation WAF : règles immédiates que vous pouvez appliquer

Si vous ne pouvez pas mettre à jour le plugin immédiatement, appliquez un patch virtuel au niveau du WAF. Ci-dessous, nous fournissons des règles d'exemple (génériques) pour les moteurs WAF courants et les déploiements de style ModSecurity/OWASP CRS. Ces règles sont conservatrices et visent à bloquer les vecteurs d'exploitation typiques sans bloquer l'utilisation normale du site. Testez les règles en staging avant de les déployer en production.

Important: Ce sont des exemples. Ajustez le chemin du plugin et l'environnement si nécessaire. Surveillez les journaux après activation et affinez les règles si vous constatez des faux positifs.

1) Nginx (avec ngx_http_rewrite_module) — bloquer l'accès aux points de terminaison du plugin pour les non-admins

Ce snippet refuse les demandes directes qui ressemblent à des téléchargements d'archives ou à des actions spécifiques au plugin, à moins que la demande ne provienne d'utilisateurs admin authentifiés. Comme Nginx ne peut pas facilement lire les cookies et les capacités de WordPress, il s'agit d'une règle défensive qui bloque les modèles d'exploitation courants (points de terminaison de téléchargement, récupérations de fichiers directes).

Placez à l'intérieur de votre bloc serveur :

# Bloquer l'accès direct aux points de terminaison de téléchargement/exportation XCloner courants

Remarque : À utiliser avec prudence — si votre site utilise légitimement des téléchargements de fichiers de plugin directs pour des processus administratifs sur lesquels vous comptez, testez cela d'abord.

2) ModSecurity (SecRule) — bloquer les demandes qui tentent d'accéder aux actions API du plugin ou de créer/déclencher des exports

Un exemple de règle ModSecurity pour bloquer les demandes contenant à la fois le chemin du plugin et des paramètres suspects. Utilisez dans votre jeu de règles personnalisé ModSecurity :

# Exemple de règle ModSecurity - refuser les actions xcloner suspectes"

Ajustez les ids et ajoutez des exclusions pour les opérations légitimes menées par des administrateurs (par exemple, des demandes avec des valeurs de cookie admin valides).

3) Modèle WAF générique (pseudo)

  • Bloquez les requêtes HTTP qui :
    • Demander des fichiers sous /wp-content/plugins/xcloner-backup-and-restore/
    • Contenir des chaînes de requête avec des paramètres comme download, export, token, archive combinés avec le slug du plugin.
    • Contenir des actions AJAX faisant référence aux fonctions xcloner.

Appliquez d'abord un mode de journalisation uniquement pendant 24 heures pour mesurer l'impact, puis refusez une fois que vous êtes confiant.

4) Blocage strict pour les utilisateurs non-admin (approche de réécriture WordPress)

Si vous pouvez ajouter un petit snippet PHP au site (mu-plugin ou plugin spécifique au site), vous pouvez empêcher les demandes des utilisateurs non-admin d'atteindre les points de terminaison du plugin :

<?php;

C'est un moyen d'arrêt efficace — mais notez que les mu-plugins sont exécutés tôt, donc cela fonctionne bien lorsque vous ne pouvez pas mettre à jour le plugin immédiatement. Supprimez après la mise à jour vers la version corrigée.

Corrections recommandées à long terme et durcissement

  1. Mettez à jour les plugins rapidement
    • Appliquez le correctif du fournisseur : mettez à jour XCloner vers 4.8.7+ sur tous les sites.
    • Testez les mises à jour en staging avant de les déployer en production.
  2. Principe du moindre privilège
    • Réévaluez si les comptes d'abonnés sont nécessaires. Limitez l'enregistrement et restreignez les capacités pour les utilisateurs à faible privilège autant que possible.
    • Utilisez la modération des adhésions ou la vérification par e-mail pour réduire la création de comptes automatisés.
  3. Renforcez l'utilisation des plugins
    • Dans la mesure du possible, limitez la création de sauvegardes et les actions de téléchargement aux administrateurs uniquement.
    • Désactivez les liens de téléchargement de sauvegarde accessibles au public ; préférez les téléchargements directs SFTP/S3 avec des URL signées à courte durée de vie.
  4. Sauvegardes sécurisées
    • Stockez les sauvegardes dans un stockage sécurisé et contrôlé par accès. Ne laissez pas les archives de sauvegarde dans des répertoires web publics.
    • Chiffrez les sauvegardes au repos si elles contiennent des données sensibles.
  5. Journalisation et surveillance des audits
    • Maintenez un journal d'audit des actions des utilisateurs, en particulier les opérations d'exportation/sauvegarde.
    • Envoyez des alertes pour toute création de sauvegarde, exportations de données volumineuses ou téléchargements.
  6. Analyse de vulnérabilité régulière
    • Exécutez un scan automatisé de votre environnement pour trouver des versions de plugins vulnérables.
    • Gardez une fenêtre de maintenance pour gérer les mises à jour urgentes.
  7. Pare-feu d'application web et correctifs virtuels
    • Utilisez des règles WAF pour fournir une protection immédiate jusqu'à ce que les correctifs soient appliqués.
    • Maintenez des ensembles de règles personnalisées pour les plugins largement installés sur votre domaine.
  8. Revue de code et pratiques de développement sûres
    • Si vous ou vos développeurs modifiez des plugins tiers, suivez les meilleures pratiques de codage sécurisé : validez et assainissez les entrées, confirmez les vérifications de capacité et évitez d'exposer des liens de téléchargement internes à des utilisateurs à faible privilège.

Manuel de réponse aux incidents — si vous trouvez des preuves d'exploitation

Si vous découvrez des signes que la vulnérabilité a été exploitée, suivez ces étapes dans l'ordre. Considérez la containment comme la priorité absolue.

  1. Contenir
    • Mettez temporairement le site hors ligne ou restreignez l'accès aux administrateurs uniquement (mode maintenance).
    • Appliquez le patch virtuel (WAF ou mu-plugin ci-dessus) immédiatement.
  2. Préserver les preuves
    • Prenez des instantanés des journaux et du système de fichiers avant de faire des modifications.
    • Exportez les journaux du serveur web, les journaux d'application, le dump de la base de données (instantané en lecture seule).
  3. Éradiquer
    • Mettez à jour XCloner vers 4.8.7+.
    • Supprimez tous les comptes d'utilisateur créés par l'attaquant, les portes dérobées ou les tâches planifiées.
    • Remplacez tous les fichiers exposés (par exemple wp-config.php) en utilisant des copies connues comme bonnes lorsque cela est possible.
  4. Récupérer
    • Faites tourner les identifiants : mots de passe administratifs WordPress, mots de passe d'utilisateur de base de données, clés API, identifiants de stockage cloud, identifiants SMTP.
    • Restaurez à partir d'une sauvegarde connue comme étant bonne si l'intégrité ne peut être assurée.
  5. Actions post-incident
    • Effectuez une analyse complète des logiciels malveillants / forensique.
    • Examinez et corrigez d'autres plugins/thèmes/noyau si nécessaire.
    • Informez les parties prenantes, les clients et les utilisateurs si des données sensibles (données personnelles, identifiants) ont été exposées. Suivez les exigences légales/réglementaires pour les notifications.
  6. Leçons apprises
    • Documentez ce qui s'est passé, pourquoi et comment la réponse a été effectuée.
    • Mettez à jour les manuels d'exploitation et le renforcement pour prévenir des problèmes similaires.

Remédiation et surveillance post-incident

  • Réactivez la production uniquement après que toutes les étapes ci-dessus ont été complétées et vérifiées.
  • Maintenez une surveillance accrue pendant plusieurs semaines :
    • Surveillez les journaux pour des tentatives répétées d'accès aux points de terminaison xcloner.
    • Gardez la journalisation des audits activée pour les actions administratives.
    • Configurez des alertes pour la création de nouvelles archives de sauvegarde ou pour de grands exports de base de données.
  • Planifiez un examen de sécurité axé sur la gestion des sauvegardes et les opérations d'exportation sensibles.
  • Faites tourner les clés et secrets qui ont pu être intégrés dans la configuration du plugin ou dans les sauvegardes (clés S3, jetons API, mots de passe SMTP).

Liste de contrôle de détection et de récupération (détaillée)

  • XCloner est-il présent et la version <= 4.8.6 ?
    • OUI : mettez à jour immédiatement.
  • Des archives de sauvegarde ont-elles été créées autour des moments où des demandes suspectes ont été enregistrées ?
    • OUI : inspectez les archives et supposez une exposition des données jusqu'à preuve du contraire.
  • Des comptes d'abonnés ont-ils été utilisés pour déclencher de gros téléchargements ou des opérations d'exportation ?
    • OUI : recherchez des abus supplémentaires et vérifiez d'autres vecteurs d'escalade de privilèges.
  • Y a-t-il des utilisateurs administrateurs inconnus ou des fichiers modifiés ?
    • OUI : restaurez à partir d'une sauvegarde de confiance si possible, et effectuez une analyse judiciaire complète.
  • Des clés API ou des identifiants ont-ils été trouvés dans la configuration du plugin ou dans les sauvegardes ?
    • OUI : faites tourner tous les identifiants affectés et examinez les journaux d'intégration tiers.

Exemples pratiques : commandes et requêtes que vous pouvez exécuter maintenant

Listez les plugins et les versions avec WP-CLI :

wp plugin list --format=table

Recherchez des hits xcloner dans les journaux web :

zgrep -i "xcloner" /var/log/nginx/access.log* | less

Trouvez des fichiers récents dans les répertoires de plugins :

trouver wp-content/plugins/xcloner-backup-and-restore -typef -mtime -30 -ls

Recherchez les téléchargements WordPress pour des archives de sauvegarde probables :

find wp-content/uploads -typef -iregex ".*\(zip\|tar\|gz\)$" -mtime -30 -ls

Recherche rapide de secrets dans les fichiers de configuration des plugins (scan uniquement, ne pas divulguer) :

grep -R --line-number -E "key|secret|api|password|token" wp-content/plugins/xcloner-backup-and-restore || true

Faites attention à la sortie de grep : elle peut contenir des secrets. Protégez tous les fichiers de résultats et suivez les conseils de rotation des identifiants si vous trouvez des correspondances.

Foire aux questions

Q : Mon site utilise XCloner mais seuls les administrateurs peuvent créer des téléchargements — suis-je en sécurité ?
UN: La vulnérabilité permet un accès de niveau Abonné à certaines données dans certaines circonstances. Si votre site reste étroitement verrouillé (aucune inscription autorisée, seuls les administrateurs peuvent déclencher des exports et les archives sont stockées hors site sans URL publiques), votre risque est beaucoup plus faible — mais vous devriez quand même mettre à jour.

Q : J'ai mis à jour vers 4.8.7. Dois-je encore scanner mon site ?
UN: Oui. Les mises à jour empêchent l'exploitation future via le chemin de code corrigé, mais si la vulnérabilité a été exploitée avant la mise à jour, vous pourriez encore avoir des problèmes à remédier.

Q : Dois-je faire tourner les mots de passe après une exposition présumée ?
UN: Oui. Tous les identifiants qui pourraient être exposés dans une sauvegarde ou un export doivent être changés : utilisateurs de base de données, mots de passe administratifs, clés API, clés S3, etc.

Q : Combien de temps devrais-je continuer à surveiller après un incident ?
UN: Surveillez de près pendant au moins 30 jours, et maintenez une journalisation élevée pendant 90 jours pour détecter les menaces tardives.

Pourquoi WP-Firewall recommande le patching virtuel proactif

En tant que fournisseur de WAF et équipe de sécurité avec une expérience sur de grandes flottes WordPress, nous constatons systématiquement une fenêtre d'exposition entre les divulgations de vulnérabilités et les mises à jour de sites. Le patching virtuel vous offre une protection immédiate jusqu'à ce que vous puissiez effectuer des tests approfondis et appliquer les correctifs du fournisseur. Notre développement de règles privilégie une interruption minimale du site tout en bloquant les modèles d'exploitation courants.

Vous voulez une protection rapide et gérée pendant que vous mettez à jour ?

Titre: Sécurisez votre site en quelques secondes — Protection WAF gérée gratuite et protection contre les logiciels malveillants de WP-Firewall

Si vous voulez un moyen facile et peu coûteux de protéger vos sites pendant que vous mettez à jour des plugins et effectuez des scans, le plan de base gratuit de WP-Firewall fournit une protection essentielle de pare-feu géré, un pare-feu d'application Web (WAF), un scanner de logiciels malveillants automatisé, et une atténuation contre les risques du Top 10 de l'OWASP — le tout avec une bande passante illimitée. Inscrivez-vous au plan gratuit et laissez nos règles gérées bloquer les tentatives d'exploitation pendant que vous mettez en œuvre des corrections permanentes : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nous proposons également des plans Standard et Pro avec suppression automatique des logiciels malveillants, contrôles de liste noire/liste blanche IP, rapports de sécurité mensuels, patching virtuel automatique et modules complémentaires premium si vous avez besoin de services gérés plus approfondis.)

Remarques de clôture de l'équipe de sécurité WP-Firewall

Si vous avez besoin d'aide pour mettre en œuvre le patch virtuel, tester les mises à jour ou effectuer une enquête sur un incident, notre équipe de sécurité peut vous assister. Les vulnérabilités dans les flux de travail de sauvegarde et d'exportation sont particulièrement sensibles car elles peuvent contenir les joyaux de votre site — bases de données, identifiants et configurations. Traitez l'hygiène des mises à jour de plugins et la sécurité des sauvegardes comme des éléments de première classe dans votre liste de contrôle opérationnelle.

Restez en sécurité : mettez à jour XCloner vers 4.8.7+, appliquez un patch virtuel WAF si nécessaire, auditez les journaux, faites tourner toutes les informations d'identification exposées et effectuez un examen complet de la sécurité de la gestion des sauvegardes et de la provision des comptes.

Pour obtenir de l'aide ou vous inscrire à une protection WAF gérée gratuite pendant que vous remédiez, visitez : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Auteur: Équipe de sécurité WP-Firewall
Contact : [email protected]

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™