XSS critico nel plugin Shortcodes Blocks Creator // Pubblicato il 2026-03-26 // CVE-2024-12166

TEAM DI SICUREZZA WP-FIREWALL

Shortcodes Blocks Creator Ultimate Vulnerability

Nome del plugin Creatore di Blocchi Shortcode Ultimate
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2024-12166
Urgenza Medio
Data di pubblicazione CVE 2026-03-26
URL di origine CVE-2024-12166

XSS riflesso in “Shortcodes Blocks Creator Ultimate” (<= 2.2.0, CVE-2024-12166): Cosa devono fare ora i proprietari di siti WordPress

Data: 24 marzo 2026

Una vulnerabilità recentemente divulgata nel plugin WordPress “Creatore di Blocchi Shortcode Ultimate” (versioni <= 2.2.0) — tracciata come CVE-2024-12166 — è un problema di Cross-Site Scripting (XSS) riflesso che può essere attivato tramite il pagina parametro. La vulnerabilità consente a un attaccante non autenticato di creare un URL che, quando visitato da un utente privilegiato o un amministratore, può comportare l'esecuzione arbitraria di JavaScript nel contesto della sessione del browser di quell'utente.

Come team di sicurezza WordPress di WP-Firewall, trattiamo l'XSS riflesso nei plugin rivolti agli amministratori con alta urgenza. Questo avviso spiega i dettagli tecnici, gli scenari di rischio nel mondo reale, la rilevazione e gli indicatori di compromissione, le mitigazioni immediate che puoi applicare e le migliori pratiche a lungo termine per gli sviluppatori. Copriamo anche come un firewall per applicazioni web gestito (WAF) e la patching virtuale possono proteggerti mentre il manutentore del plugin rilascia una correzione ufficiale.

Nota: questo avviso evita il codice di sfruttamento. L'obiettivo è informare i proprietari di siti e gli sviluppatori affinché possano rispondere rapidamente e in sicurezza.

Sintesi

  • Vulnerabilità: Cross-Site Scripting (XSS) riflesso tramite pagina parametro nel plugin Shortcodes Blocks Creator Ultimate (<= 2.2.0).
  • CVE: CVE-2024-12166
  • Versioni interessate: versione 2.2.0 e precedenti
  • Impatto: Esecuzione arbitraria di JavaScript nel browser della vittima dopo l'interazione dell'utente (cliccando su un link creato o visitando una pagina malevola).
  • Privilegi richiesti: nessuno per l'attaccante per creare l'URL; richiede un utente privilegiato (tipicamente un amministratore o un editore) per interagire con il link creato.
  • Gravità: Media / CVSS ~7.1 (significativa a causa del potenziale impatto amministrativo).
  • Raccomandazione immediata: applicare la patch ufficiale quando disponibile OPPURE applicare mitigazioni stratificate ora — disabilitare o limitare il plugin, imporre le migliori pratiche per gli amministratori, indurire l'accesso e implementare regole WAF/patching virtuale.

Cos'è l'XSS riflesso e perché è pericoloso qui?

L'XSS riflesso si verifica quando un'applicazione include dati forniti dall'utente non sanitizzati in una pagina di risposta, causando l'esecuzione di JavaScript fornito dall'attaccante nel browser. A differenza dell'XSS memorizzato, il payload malevolo non è memorizzato in modo persistente sul sito: viene “riflesso” da una richiesta ed eseguito quando un utente visita l'URL creato.

Questo particolare problema è pericoloso per tre motivi:

  1. Il plugin espone funzionalità accessibili dalle pagine di amministrazione o da pagine in cui operano utenti privilegiati. Se un amministratore clicca sul link malevolo, lo script viene eseguito in un contesto in cui sono possibili azioni ad alta privilegio (impostazioni del plugin, creazione di post, modifiche agli utenti).
  2. Anche una breve esecuzione di JavaScript può essere sufficiente per rubare i cookie di autenticazione, impersonare amministratori, iniettare backdoor o modificare impostazioni critiche del sito.
  3. L'attacco può essere automatizzato su larga scala: gli attaccanti possono creare URL e tentare campagne di phishing, o pubblicare link per ingannare gli amministratori a visitarli.

La vulnerabilità richiede interazione da parte dell'utente (l'utente privilegiato deve cliccare o visitare), ma questo è un vettore realistico: un attaccante può inviare un'email, pubblicare un messaggio privato o ospitare una pagina che invoglia l'amministratore del sito a seguire il link.

Come funziona tipicamente la vulnerabilità (a livello alto)

  • Un attaccante costruisce un URL che mira a una pagina nel plugin vulnerabile e inietta codice di script malevolo (o caratteri) nel pagina parametro o in altri campi di query.
  • Il plugin vulnerabile riflette quel parametro in una pagina HTML senza una corretta escape o sanitizzazione.
  • L'attaccante invia l'URL a un utente con privilegi elevati (amministratore o un altro ruolo privilegiato).
  • Quando l'utente apre l'URL, il JavaScript dell'attaccante viene eseguito nel browser dell'utente sotto l'origine del sito (stessa origine), abilitando potenziali tecniche di takeover dell'account: furto di cookie, attivazione di CSRF, prompt di furto di credenziali, manipolazione del DOM e chiamate API che sfruttano la sessione autenticata dell'utente.
  • L'attaccante può quindi aumentare l'accesso, creare nuovi account admin, caricare file di plugin/tema malevoli o mantenere una backdoor.

Scenari di attacco realistici

  • Phishing per gli amministratori: Un attaccante invia un'email al proprietario del sito con un link che sembra essere un URL di sito legittimo. Se l'amministratore clicca, il JavaScript iniettato viene eseguito.
  • Esche di siti di terze parti: Il link malevolo viene pubblicato su un forum o inviato privatamente a un canale di chat di squadra. Qualsiasi utente privilegiato che clicca è colpito.
  • Attacchi cross-site che coinvolgono un sito esterno: Un attaccante incorpora un link creato in una pagina di terze parti o in un messaggio che un amministratore visita, causando l'esecuzione dell'XSS riflesso.
  • Follow-up post-esecuzione: Dopo l'esecuzione iniziale dello script, il codice dell'attaccante può chiamare endpoint riservati agli amministratori (tramite XHR/fetch) per creare nuovi account, iniettare opzioni dannose o installare plugin/backdoor, portando infine a un compromesso del sito.

Chi è a rischio?

  • Qualsiasi sito WordPress che utilizza la versione 2.2.0 o precedente del plugin Shortcodes Blocks Creator Ultimate.
  • Amministratori e altri account utente privilegiati le cui sessioni del browser possono essere ingannate per visitare un URL creato in modo malevolo.
  • I siti con sicurezza amministrativa debole (accesso a fattore singolo, password riutilizzate, nessuna gestione delle sessioni) sono a maggior rischio di compromissione persistente dopo un XSS iniziale.

Rilevamento: cosa cercare

L'XSS riflesso è transitorio, quindi le prove dirette nei file del sito sono spesso assenti. Cerca indicatori indiretti:

  1. Attività di accesso insolita o nuovi account amministratori creati dopo clic sospetti.
  2. Cambiamenti inaspettati nelle impostazioni di plugin/temi, post o pagine.
  3. Richieste HTTP in uscita dal tuo server verso indirizzi IP sconosciuti (segno di backdoor o esfiltrazione).
  4. File modificati con timestamp inaspettati (nuovi file PHP, backdoor installate).
  5. Attività pianificate sospette (hook cron) che non hai impostato.
  6. Log del server web che mostrano richieste contenenti stringhe di query insolite (specialmente pagina= con caratteri codificati come %3C, %3E, javascript:, o attributi come unerrore=).
  7. Avvisi da scanner di malware che indicano codice JavaScript insolito o offuscato iniettato nelle pagine.
  8. Errori nella console del browser o script inline inaspettati quando gli amministratori caricano determinate pagine di plugin.

Se sospetti che un amministratore compromesso abbia cliccato su un link malevolo, controlla immediatamente i segni sopra e procedi con la risposta all'incidente.

Passi immediati di mitigazione (lista di controllo per il proprietario del sito)

Se gestisci un sito che utilizza il plugin interessato, prendi subito questi provvedimenti:

  1. Controllare la versione del plugin:
    • Se sei su una versione fissa (è stata rilasciata un'aggiornamento del plugin), aggiorna immediatamente il plugin.
    • Se non è ancora disponibile una patch, continua con le mitigazioni qui sotto.
  2. Limitare l'accesso alle pagine del plugin:
    • Limita l'accesso alle pagine di amministrazione del plugin per IP o per ruolo. Usa .htaccess, regole del server web o un plugin che limita l'accesso all'amministrazione.
    • Implementare l'autenticazione a due fattori (2FA) per tutti gli utenti amministratori.
  3. Rendi più sicuri gli account degli amministratori:
    • Cambia immediatamente le password degli amministratori e imposta password forti uniche.
    • Disconnetti tutte le sessioni attive (WordPress → Utenti → Modifica profilo → Sessioni) o usa un plugin per forzare il logout ovunque.
    • Rimuovi gli account admin non utilizzati.
  4. Disabilita o disattiva temporaneamente il plugin vulnerabile:
    • Se il plugin non è essenziale, disattivalo o disinstallalo fino a quando non sarà disponibile una versione sicura.
    • Se la disattivazione non è possibile (la funzionalità del sito dipende da esso), blocca le specifiche pagine di amministrazione del plugin utilizzando regole di controllo accessi (whitelisting IP nell'area di amministrazione o bloccando endpoint specifici).
  5. Scansione e pulizia:
    • Esegui una scansione completa del malware sul tuo sito e sul tuo account di hosting.
    • Controlla l'integrità dei file per file modificati o sospetti in wp-content, wp-includes e nella radice.
    • Ripristina da un backup noto e buono se rilevi file dannosi che non puoi pulire in sicurezza.
  6. Revoca e segreti:
    • Ruota le chiavi API, i segreti e cambia le password per qualsiasi servizio che potrebbe essere stato esposto.
    • Considera di revocare e riemettere eventuali token utilizzati per l'automazione del sito.
  7. Monitora i log:
    • Tieni d'occhio i log del server web per richieste sospette con parametri di query insoliti o user agent.
    • Monitora la creazione di nuovi account amministrativi e installazioni di plugin.
  8. Informare le parti interessate:
    • Informare il tuo team e il fornitore di hosting se rilevi compromissioni. Se hai dati dei clienti a rischio, segui eventuali requisiti legali o normativi di notifica.

WAF e patch virtuali — proteggere mentre si attende una patch ufficiale

Se un aggiornamento ufficiale del plugin non è ancora disponibile, il modo più veloce e meno dirompente per ridurre il rischio è applicare patch virtuali con un WAF. Un WAF gestito può bloccare i tentativi di sfruttamento prima che raggiungano il codice vulnerabile.

Azioni WAF raccomandate (esempi e modelli sicuri che puoi usare per creare regole):

  • Blocca caratteri e parole chiave sospette nel pagina parametro (o qualsiasi stringa di query) per le richieste che mirano agli endpoint di amministrazione del plugin.
  • Blocca i modelli di payload XSS comuni, come i tag script (6.) e gli URI JavaScript, gestori di eventi (unerrore=, carico=), o equivalenti codificati.
  • Applica regole mirate solo per le richieste che corrispondono ai percorsi del plugin per evitare falsi positivi.

Esempio di pseudo-regola (sintassi pseudo-simile a ModSecurity; adatta per la tua interfaccia WAF):

Nota: Non copiare i payload di exploit nei log o nelle regole. Usa modelli che corrispondono ai marcatori dei tentativi di XSS.

# Pseudo-rule: Block requests with script-like patterns to plugin admin pages
If REQUEST_URI contains "/wp-admin/admin.php" AND
   REQUEST_ARGS["page"] matches "(%3C|<).*script.*(%3E|>)|javascript:|onerror=|onload="
Then BLOCK and LOG the request

Un altro approccio è indurire i caratteri consentiti:

# Pseudo-regola: Consenti solo caratteri sicuri per il parametro pagina sugli endpoint del plugin

Se utilizzi un servizio WAF gestito, invia un ticket per ottenere una patch virtuale personalizzata (una regola mirata) distribuita per il tuo sito per bloccare il vettore di attacco mentre segui altri passaggi di rimedio. Questo approccio riduce immediatamente il rischio senza modificare il codice del plugin.

Guida sicura per gli sviluppatori (per autori e manutentori di plugin)

Se sviluppi plugin per WordPress o sei responsabile di questo specifico plugin, queste raccomandazioni focalizzate sugli sviluppatori sono essenziali:

  1. Sanitizza e scappa tutti gli input forniti dagli utenti:
    • Usa le funzioni di sanitizzazione di WordPress come sanitize_text_field(), esc_attr(), esc_html(), esc_url(), E wp_kses() ove opportuno.
    • Non echo mai dati non scappati direttamente in HTML.
  2. Usa un'adeguata fuga di contesto di output:
    • esc_html() per il contenuto del corpo HTML.
    • esc_attr() per contesti di attributo.
    • esc_url_raw() / esc_url() per gli URI.
    • Utilizzo wp_kses_post() O wp_kses() quando è consentito HTML parziale (e definisci i tag consentiti).
  3. Utilizzare nonce e controlli di capacità:
    • Convalidare current_user_can() per azioni di amministrazione.
    • Utilizzo wp_verify_nonce() per azioni POST e invii di moduli di amministrazione.
  4. Evita di riflettere i parametri di query grezzi nelle pagine di amministrazione:
    • Se devi riflettere i parametri per la navigazione o lo stato, sanitizzali e utilizza liste bianche per i valori attesi.
    • Converti l'input in token o mappa i valori di query su etichette sicure conosciute prima dell'output.
  5. Validazione lato server:
    • Valida lato server, non solo lato client. Non fare mai affidamento esclusivamente su JavaScript per la validazione.
  6. Test di sicurezza:
    • Includi analisi statica automatizzata e test dinamici focalizzati su iniezione e XSS.
    • Aggiungi test unitari che affermano l'escaping atteso per tutti i percorsi di output.
  7. Intestazioni di risposta:
    • Restituisci intestazioni sicure come Content-Security-Policy (CSP) che limitano l'esecuzione di script inline e riducono il rischio di XSS.
    • Aggiungi HttpOnly ai cookie dove possibile per ridurre il furto tramite script lato client.
  8. Rilasci rapidi di patch:
    • Quando viene segnalata una vulnerabilità, valida e pubblica rapidamente una patch in modo trasparente, includendo i passaggi di aggiornamento raccomandati per i proprietari del sito.

Per fornitori di hosting e agenzie

  • Spingi una mitigazione globale tramite il WAF a livello di host per tutti i clienti che utilizzano il plugin vulnerabile.
  • Offri di limitare temporaneamente o disabilitare il plugin per i clienti che non possono aggiornare.
  • Fornisci indicazioni chiare e un elenco di controllo per la remediation ai clienti (rotazione della password, scansione, controllo amministrativo).
  • Supporta la risposta agli incidenti e l'analisi forense per i clienti che potrebbero essere stati compromessi.

Indicatori di compromissione (IoCs) da cercare.

  • Voci di log web con richieste a /wp-admin/admin.php o altri endpoint di amministrazione contenenti pagina= con codificato <, >, javascript:, unerrore=, carico=, o altri token di gestore eventi.
  • Nuovi o alterati utenti admin creati poco dopo un'entrata di log sospetta.
  • Modifiche ai file di plugin/tema con timestamp che corrispondono ad attività sospette.
  • Eventi programmati indesiderati (wp-cron) che invocano funzioni sconosciute.
  • Opzioni modificate nella opzioni_wp tabella (cerca valori inaspettati o dati serializzati).
  • Installazioni di plugin o temi inaspettate durante lo stesso intervallo di tempo.

Se trovi uno di questi, assumi la possibilità di una compromissione più profonda e considera una risposta professionale all'incidente.

Recupero e pulizia se sei stato compromesso

  1. Metti il sito offline per contenimento se ci sono prove chiare di compromissione.
  2. Conserva i log e gli snapshot per l'analisi.
  3. Reinstalla i file core di WordPress da fonti affidabili.
  4. Sostituisci plugin e temi con copie pulite o ripristina da un backup precedente alla compromissione.
  5. Pulisci o sostituisci i file PHP modificati; rimuovi file o script PHP sconosciuti.
  6. Ruota tutte le password (admin, FTP, pannello di hosting, database) e le chiavi API.
  7. Riemetti eventuali token e segreti esposti.
  8. Riesamina il sito dopo la pulizia per assicurarti che non rimangano backdoor.
  9. Rivedi i processi del server e i cron job.
  10. Considera di ripristinare da un backup pulito e applicare le mitigazioni sopra prima di riconnettere il sito a Internet.

Perché un approccio a strati è essenziale

  • 1. La correzione del plugin è la soluzione giusta a lungo termine, ma un aggiornamento ufficiale potrebbe richiedere tempo.
  • 2. Disabilitare il plugin rimuove la superficie di attacco ma potrebbe compromettere la funzionalità del sito.
  • 3. Il WAF/patching virtuale è veloce ed efficace per bloccare i modelli di attacco ma non è un sostituto delle correzioni corrette lato server.
  • 4. Una forte sicurezza per gli amministratori (2FA, gestione delle sessioni) riduce la probabilità di escalation dei privilegi dopo un'esecuzione XSS riflessa riuscita.
  • 5. Le capacità di monitoraggio e risposta agli incidenti ti aiutano a rilevare e recuperare rapidamente.

6. Combinare questi strati — patching rapido, protezioni WAF, indurimento degli amministratori, monitoraggio continuo e pratiche di sviluppo sicure — offre la migliore protezione.

7. Esempi di modelli di regole WAF (non copiare i payload)

8. Di seguito sono riportate idee di regole generiche sicure per aiutare il tuo team di sicurezza a configurare il blocco senza rischiare falsi positivi. Adattale al tuo ambiente e testale a fondo.

  • 9. Blocca le richieste che mirano agli endpoint di amministrazione del plugin che includono parentesi angolari o token XSS comuni nelle stringhe di query.
  • 10. Sfida (CAPTCHA) o presenta un'interstiziale a qualsiasi richiesta ai percorsi wp-admin che contiene caratteri codificati sospetti.
  • 11. Limita il tasso o blocca le richieste ripetute che sondano gli endpoint del plugin con codifiche di parametri insolite.
  • 12. Distribuisci una regola personalizzata che ispeziona il pagina 13. parametro per caratteri al di fuori di una whitelist attesa (lettere, numeri, trattini, trattini bassi).

14. I test e la fase di staging sono essenziali prima di applicare regole aggressive in produzione. Monitora sempre i falsi positivi (richieste legittime che vengono bloccate).

15. Lista di controllo pratica per i proprietari di siti (copia-incolla lista di controllo)

  • 16. Verifica la versione del plugin. Se è disponibile un aggiornamento, aggiorna alla versione corretta.
  • 17. Se non c'è ancora una patch, disattiva il plugin se possibile.
  • Forza il logout di tutte le sessioni amministrative e ruota le password degli amministratori.
  • Abilitare 2FA per tutti gli utenti amministratori.
  • 18. Applica la/e regola/e WAF per bloccare i valori di parametro sospetti per gli endpoint di amministrazione del plugin. pagina 19. Scansiona il sito per malware e controlla l'integrità dei file.
  • Scansiona il sito per malware e controlla l'integrità dei file.
  • Limitare l'accesso a wp-admin tramite una lista di autorizzazione IP dove possibile.
  • Controllare nuovi utenti amministratori e attività programmate inaspettate.
  • Eseguire il backup del sito ora (dopo la pulizia) e documentare i passaggi dell'incidente.
  • Iscriversi a feed di sicurezza affidabili per aggiornamenti sulle versioni corrette.

Come WP-Firewall aiuta (il nostro approccio)

Presso WP-Firewall raccomandiamo una risposta pratica e stratificata per problemi come CVE-2024-12166:

  • WAF gestito e patch virtuali: i nostri ingegneri possono implementare regole mirate che bloccano i modelli di sfruttamento noti per questo XSS riflesso mentre aspetti un aggiornamento ufficiale del plugin. Questo riduce il rischio senza dover modificare il codice del sito.
  • Scansione e pulizia del malware: le scansioni programmate rilevano indicatori di compromissione precocemente. Se sospetti una compromissione, il nostro team può assisterti con le pulizie o fornire indicazioni per ripristinare da backup puliti.
  • Strumenti di indurimento per amministratori: aiutiamo a far rispettare l'autenticazione a due fattori, le politiche di blocco e la gestione delle sessioni per rendere più difficile per gli attaccanti utilizzare un'esecuzione XSS per ottenere il takeover dell'account.
  • Monitoraggio e avvisi: monitoriamo schemi di richiesta sospetti e ti informiamo rapidamente quando viene tentato un potenziale sfruttamento in modo che tu possa agire.
  • Indicazioni di sicurezza: liste di controllo azionabili e supporto one-on-one per aiutare le agenzie e i proprietari di siti a rispondere rapidamente e limitare i danni.

Utilizzare un WAF gestito in combinazione con le altre raccomandazioni sopra fornisce la riduzione del rischio più rapida e pratica per i problemi di XSS riflesso.

Nuovo: Inizia con il Piano Gratuito di WP-Firewall Oggi

Titolo: Proteggi il tuo WordPress Admin dal Primo Click — Inizia con un Livello di Difesa Gratuito

Comprendiamo che tempo e risorse variano tra i siti. Se stai cercando una protezione immediata che puoi attivare oggi, prova il piano Basic gratuito di WP-Firewall. Ti offre difese essenziali per ridurre l'esposizione a XSS riflessi e altri tipi di attacco comuni:

  • Protezione essenziale: firewall gestito che blocca schemi di attacco comuni.
  • Larghezza di banda illimitata attraverso il livello del firewall.
  • Regole del Web Application Firewall (WAF) per mitigare i rischi dell'OWASP Top 10.
  • Scanner malware che aiuta a rilevare script iniettati e backdoor.

Puoi iscriverti al piano gratuito qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se hai bisogno di una pulizia più veloce e automatizzata e di controlli più granulari, i nostri piani Standard e Pro aggiungono rimozione automatica del malware, blacklist IP, capacità di patch virtuali, report di sicurezza mensili e servizi gestiti premium.

Raccomandazioni a lungo termine per i proprietari di siti WordPress e sviluppatori

  1. Mantieni aggiornati plugin e temi. Imposta aggiornamenti in fase o test di patch in modo da poter applicare aggiornamenti in sicurezza.
  2. Installa solo plugin da fonti affidabili e rimuovi plugin/temi non utilizzati.
  3. Applica il principio del minimo privilegio per i ruoli utente e riduci al minimo gli utenti admin.
  4. Adotta un WAF e scansioni automatizzate come parte della manutenzione di routine.
  5. Eseguire backup regolari e testare i ripristini.
  6. Educa gli admin e gli editor sui rischi di phishing — l'XSS riflesso di solito richiede un'interazione dell'utente come cliccare su un link. La consapevolezza riduce i tassi di successo.
  7. Incoraggia gli autori di plugin ad adottare checklist di codifica sicura e test di sicurezza automatizzati.

Parole finali — urgenza e equilibrio

Le vulnerabilità XSS riflesse come CVE-2024-12166 sono comuni ma ancora impattanti perché sfruttano il comportamento umano. Il percorso verso il compromesso richiede tipicamente una combinazione di vulnerabilità tecniche e un'azione dell'utente (cliccare su un link creato), il che significa che dobbiamo difendere sia il codice che le persone che lo usano.

Azioni immediate che dovresti dare priorità:

  • Aggiorna il plugin se è disponibile una patch.
  • Se non è disponibile, blocca la superficie di attacco (disattiva il plugin, limita l'accesso) e distribuisci WAF/patche virtuali per fermare i modelli di sfruttamento.
  • Rinforza gli account admin e monitora i log per segni di compromesso.
  • Se si sospetta un compromesso, segui la checklist di recupero incidenti e considera un aiuto forense professionale.

Riconosciamo che le decisioni di sicurezza devono bilanciare disponibilità e rischio. Se hai bisogno di aiuto per applicare le mitigazioni o desideri un secondo parere sull'approccio giusto per il tuo sito, il team di WP-Firewall è pronto ad aiutarti.

Rimani al sicuro, mantieni aggiornati i plugin e non esitare ad applicare controlli a strati mentre aspetti le patch degli sviluppatori.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™