Pilne ostrzeżenie XSS dla wtyczki obrazu WordPress//Opublikowano 2026-06-01//CVE-2026-3722

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

WordPress Auto Image Attributes From Filename With Bulk Updater Plugin Vulnerability

Nazwa wtyczki Wtyczka WordPress Auto Image Attributes From Filename With Bulk Updater (Dodaj Alt Text, Tytuł Obrazu dla SEO Obrazów)
Rodzaj podatności Atak typu cross-site scripting (XSS)
Numer CVE CVE-2026-3722
Pilność Niski
Data publikacji CVE 2026-06-01
Adres URL źródła CVE-2026-3722

Uwierzytelnione (Autor) Przechowywane XSS w “Auto Image Attributes From Filename With Bulk Updater” (≤ 4.9) — Co właściciele stron WordPress powinni wiedzieć i zrobić teraz

Streszczenie

  • Wrażliwość: Uwierzytelnione przechowywane Cross‑Site Scripting (XSS)
  • Dotknięta wtyczka: Auto Image Attributes From Filename With Bulk Updater (Dodaj Alt Text, Tytuł Obrazu dla SEO Obrazów)
  • Wersje podatne na ataki: ≤ 4.9
  • Poprawione w: 4.9.1
  • CVE: CVE-2026-3722
  • Wymagane uprawnienia: Autor (uwierzytelniony)
  • CVSS (zgodnie z indeksowymi raportami publicznymi): 5.9 (średni / niski w zależności od kontekstu strony)
  • Natychmiastowe działania na wysokim poziomie: Zaktualizuj wtyczkę do 4.9.1 (lub nowszej). Jeśli nie możesz natychmiast zaktualizować, zastosuj łagodzenia (zasada WAF, ogranicz przesyłanie, wyłącz wtyczkę).

Jako zespół ds. bezpieczeństwa WordPress w WP‑Firewall publikujemy to zestawienie, aby pomóc właścicielom stron, deweloperom i hostom szybko zrozumieć ryzyko, wykryć wskaźniki i wdrożyć zarówno krótkoterminowe łagodzenia, jak i długoterminowe remedacje. To jest napisane z doświadczenia w ochronie stron WordPress w terenie — pragmatyczne, priorytetowe i wykonalne.

Dlaczego to ma znaczenie (prosty język)

Ta luka pozwala uwierzytelnionemu użytkownikowi z co najmniej uprawnieniami autora na tworzenie treści, które przechowują złośliwy JavaScript wewnątrz atrybutów obrazów (na przykład alt text lub tytuł). Gdy ofiara (inny użytkownik lub odwiedzający stronę, w zależności od tego, jak strona wyświetla ten atrybut) przegląda stronę lub obszar administracyjny, w którym złośliwy atrybut obrazu jest renderowany bez odpowiedniego uciekania, przechowywany skrypt działa w przeglądarce ofiary.

Co to oznacza w praktyce:

  • Atakujący z dostępem autora mógłby umieścić trwały skrypt, który uruchamia się za każdym razem, gdy otwierana jest konkretna strona administracyjna lub publiczna.
  • Skrypty mogą kraść ciasteczka lub tokeny uwierzytelniające, wykonywać działania w imieniu ofiary, wstawiać złośliwe oprogramowanie, szpecić strony lub tworzyć tylne drzwi.
  • Nawet jeśli początkowy atakujący jest użytkownikiem o niskich uprawnieniach (Autor), konsekwencje mogą kaskadować do kont o wyższych uprawnieniach, jeśli ci użytkownicy przeglądają zainfekowaną treść.

Przegląd techniczny — jak działa luka

To jest luka XSS przechowywana koncentrująca się na obsłudze metadanych obrazów. Powszechne sposoby działania tej klasy wtyczek:

  • Wtyczka odczytuje nazwy plików lub dane wejściowe użytkownika, aby automatycznie generować atrybuty alt i tytuł dla obrazów w bibliotece mediów.
  • Oferuje aktualizator zbiorczy, który zapisuje wygenerowane wartości w polach postmeta (dla _wp_attachment_image_alt) lub pól postów załączników (post_title, post_excerpt, post_content).
  • Jeśli wtyczka nie oczyszcza ani nie ucieka poprawnie tych pól przed zapisaniem lub renderowaniem, HTML/JavaScript mogą być osadzone i później wykonywane, gdy wartości są wyświetlane na stronach lub ekranach administracyjnych bez ucieczki.

Kluczowe cechy tego konkretnego raportu:

  • Poziom uprawnień: Autor lub wyższy może wstrzyknąć ładunek.
  • Typ: XSS przechowywane — złośliwy ciąg jest zapisywany w bazie danych i może być wykonywany później.
  • Wektor ataku: Przesyłanie obrazów lub aktualizowanie wartości alt/tytuł obrazów za pomocą funkcji wtyczki (masowa aktualizacja z nazwy pliku itp.) z przygotowanym wejściem zawierającym HTML/JS.
  • Wyzwalacz: Wyświetlanie strony lub interfejsu administracyjnego, który renderuje złośliwy atrybut bez ucieczki.

Ponieważ jest przechowywane, złośliwe treści mogą utrzymywać się aż do usunięcia — dając atakującym trwałą pozycję.

Realistyczne scenariusze ataków

  1. Złośliwy Współautor/Autor osadza trwały JS w alt/tytule:

    • Autor przesyła obraz o nazwie: promo">.jpg
    • Wtyczka używa nazwy pliku do ustawienia alt/tytułu obrazu i zapisuje to w bazie danych bez oczyszczania.
    • Gdy administrator lub redaktor później podgląda galerię w panelu administracyjnym, lub gdy motyw drukuje alt/tytuł bez ucieczki, skrypt jest wykonywany.
  2. Ukierunkowane podniesienie uprawnień:

    • Skrypt przechwytuje aktualny nonce uwierzytelniający administratora lub ciasteczko i eksfiltruje je na serwer atakującego. Atakujący używa go do wykonywania uprzywilejowanych działań.
  3. Masowe wykorzystanie:

    • Skompromitowane konto Autora jest używane do zasiewania wielu obrazów na stronie. Publiczni odwiedzający uruchamiają ładunek i są przekierowywani lub zarażani niechcianymi wyskakującymi oknami lub złośliwym oprogramowaniem.

Kto jest narażony na ryzyko?

  • Każda strona działająca na podatnej wersji wtyczki (≤ 4.9).
  • Strony, które pozwalają na konta użytkowników z uprawnieniami Autora lub podobnymi. Wiele blogów wieloautorskich i stron członkowskich rutynowo przyznaje te poziomy.
  • Strony, które renderują wartości alt/tytuł obrazów w HTML bez odpowiedniej ucieczki. Niektóre motywy lub kreatory stron mogą osadzać alt/tytuł w kontekstach (np. atrybuty danych, HTML w linii), które są podatne.

Wykrywanie — jak znaleźć oznaki kompromitacji lub podatne wpisy

Zanim cokolwiek zmienisz, utwórz pełną kopię zapasową (plików i bazy danych). Następnie zbadaj to za pomocą tych technik.

  1. Szybkie wyszukiwanie w bazie danych podejrzanych znaków w metadanych załączników

    Wyszukaj wartości alt postmeta:

    SELECT post_id, meta_value;

    Wyszukaj post_title lub post_excerpt załącznika:

    SELECT ID, post_title, post_excerpt;
  2. Użyj WP‑CLI, aby znaleźć podejrzane wartości

    wp db query "SELECT post_id, meta_value FROM wp_postmeta WHERE meta_key = '_wp_attachment_image_alt' AND meta_value REGEXP '<(script|img|svg|iframe|object)|on(error|load|mouseover)|javascript:';"
  3. Skanuj logi serwera WWW w poszukiwaniu nietypowych połączeń wychodzących z przeglądarek (ekstrakcja) oraz szczytów 4xx/5xx wokół stron administracyjnych.
  4. Wyszukaj renderowany HTML w poszukiwaniu osadzonego skryptu w atrybutach obrazów (sprawdź strony i ekrany administracyjne). Szukaj alt="...<script" Lub title="...<script".
  5. Sprawdź bibliotekę mediów programowo pod kątem nazw plików zawierających znaki HTML:

    wp media list --format=csv | grep -E '|script|onerror|onload|javascript:'
  6. Skaner złośliwego oprogramowania / logi WAF:

    • Jeśli masz uruchomiony WAF, szukaj zablokowanych prób, które pasują do wzorców regex XSS i skup się na punktach końcowych administracyjnych lub załączników.

Jeśli znajdziesz dopasowania, traktuj je jako podejrzane i natychmiast rozpocznij kroki naprawcze.

Natychmiastowe łagodzenie — priorytetowe kroki

  1. Natychmiast zaktualizuj wtyczkę do wersji 4.9.1 lub nowszej (najlepsza i najprostsza poprawka).
  2. Jeśli nie możesz zaktualizować teraz:
    • Wyłącz wtyczkę do czasu aktualizacji.
    • Tymczasowo ogranicz możliwości przesyłania autorów/współautorów:
      • Ogranicz przesyłanie mediów dla autorów, używając wtyczki roli/zdolności lub kodu, który usuwa przesyłanie_plików zdolność od autora.
    • Zastosuj regułę WAF, aby zablokować przechowywane wzorce XSS i zablokować żądania, które zawierają <script, JavaScript:, błąd, załadować, itp., w polach przesyłania obrazów lub aktualizacjach załączników.
    • Usuń podejrzane wpisy alt/title znalezione przez zapytania detekcyjne, po wykonaniu kopii zapasowej bazy danych.
  3. Dla skompromitowanych stron:
    • Wyłącz stronę (tryb konserwacji) lub przynajmniej zablokuj ruch zewnętrzny, aby zapobiec dalszemu wykorzystaniu.
    • Zresetuj hasła dla kont administratorów, obróć klucze API, cofnij i wygeneruj ponownie wszelkie tajne dane.

Jak bezpiecznie usunąć złośliwe wpisy (krótki przykład)

Ważne: zawsze wykonaj kopię zapasową przed uruchomieniem masowych aktualizacji.

  1. Zastąp tagi skryptów bezpiecznym tekstem dla pól alt za pomocą WP‑CLI (przykłady poniżej usuwają nawiasy kątowe):

    # Przykład: sanitizuj _wp_attachment_image_alt, usuwając nawiasy kątowe"
  2. Lub sanitizuj za pomocą PHP w małym skrypcie/wtyczce, która używa interfejsów API WordPressa:

    <?php
  3. Dla tytułu i treści:

    <?php

Przykłady WAF / wirtualnych poprawek (propozycje wzorców)

Jeśli uruchamiasz zaporę aplikacji internetowej lub możesz wstrzykiwać reguły na poziomie serwera, użyj filtrów defensywnych dla punktów końcowych przesyłania/aktualizacji:

Ogólny regex do wykrywania oczywistych wstrzyknięć skryptów w polach (przykład jest ilustracyjny — dostosuj, aby uniknąć fałszywych pozytywów):

/(<\s*script\b|javascript:|on(error|load|mouseover|focus|click)\s*=|<\s*svg|<\s*iframe\b|<\s*object\b|<\s*iframe\b)/i

Przykład zachowania reguły:

  • Zablokuj lub oczyść żądania do:
    • admin-ajax.php akcje, które aktualizują załączniki
    • Żądania POST do wp-admin/upload.php lub punktów końcowych REST API, które aktualizują metadane załączników
  • Jeśli wykryto, zarejestruj incydent, zablokuj żądanie i powiadom administratora strony.

Przykład pseudo-logiki WAF:

  • Przy POST do /wp-json/wp/v2/media Lub /wp-admin/admin-ajax.php?action=...:
    • Jeśli jakikolwiek parametr wejściowy zawiera powyższy wzór, to:
      • Zablokuj żądanie, odpowiedz 403 i zarejestruj szczegóły (IP, identyfikator użytkownika, ładunek).
      • Opcjonalnie, przedstaw oczyszczony błąd użytkownikowi.

Klienci WP-Firewall: możemy zastosować regułę wirtualnej łatki, aby zablokować żądania, które próbują dodać <script> i inne obsługiwacze zdarzeń do metadanych obrazów oraz proaktywnie monitorować aktualizacje załączników pod kątem podejrzanych wartości.

Naprawa po potwierdzeniu kompromitacji

  1. Przywróć z znanej dobrej kopii zapasowej (jeśli dostępna i niedawna).
  2. Jeśli przywrócenie nie jest możliwe:
    • Oczyść złośliwe ładunki z bazy danych, korzystając z powyższych kroków sanitarnych.
    • Ręcznie sprawdź folder przesyłania pod kątem podejrzanych plików (phpshelle, nieoczekiwane pliki z rozszerzeniem .php w przesyłaniach — chociaż ta luka koncentruje się na metadanych).
  3. Zmień wszystkie hasła administratora i o wysokich uprawnieniach. Wymuś wylogowanie ze wszystkich sesji.
  4. Wydaj ponownie klucze API, tokeny OAuth i wszelkie inne sekrety używane przez stronę lub integracje.
  5. Ponownie audytuj użytkowników i usuń wszelkie konta, które są niepotrzebne lub podejrzane. Wymuś uwierzytelnianie dwuskładnikowe (2FA) na pozostałych kontach o wysokich uprawnieniach.
  6. Przeprowadź pełne skanowanie złośliwego oprogramowania i kontrolę integralności. Potwierdź czyste wyniki przed ponownym zezwoleniem na normalny ruch.
  7. Włącz rejestrowanie i monitorowanie (logi WAF, wykrywanie zmian w plikach, działania administratora).

Utwardzanie i długoterminowa prewencja (zalecana postawa)

  • Zasada najmniejszych uprawnień: oceń, dlaczego konta Autorów mają prawa do przesyłania. Jeśli nie jest to konieczne, usuń przesyłanie_plików uprawnienia z roli Autora.
  • Oczyszczaj i escape'uj wcześnie: deweloperzy wtyczek muszą oczyszczać dane wejściowe przed ich przechowaniem (np. usuń < I > lub usuń tagi) i zawsze escape'uj dane wyjściowe (esc_attr, esc_html) podczas renderowania.
  • Przejrzyj obsługę mediów: traktuj wszystkie nazwy plików i metadane jako nieufne dane wejściowe.
  • Używaj bezpiecznego cyklu życia rozwoju: przegląd kodu, skanowanie zależności i testowanie bezpieczeństwa dla wtyczek i motywów.
  • Ogranicz użycie wtyczek: minimalizuj wtyczki, które przyjmują dane wejściowe od użytkownika i zapisują do bazy danych bez wyraźnego oczyszczania.
  • Rejestrowanie i powiadamianie: powiadom, gdy wystąpią zmiany w metadanych załączników (szczególnie przez użytkowników o niskich uprawnieniach).
  • Regularne aktualizacje: utrzymuj rdzeń WordPressa, motywy i wtyczki na bieżąco.

Praktyczne wskazówki dla deweloperów (jak naprawić w kodzie)

Autorzy wtyczek powinni stosować te kroki w swoich ścieżkach kodu, które generują lub zapisują wartości alt/title:

  1. Oczyszczaj przed zapisem:

    <?php
  2. Escape'uj podczas renderowania (zawsze rób obie rzeczy):

    <?php
  3. Unikaj ufania nazwom plików: jeśli przekształcasz nazwę pliku na czytelny tekst, zastosuj zamiany i ogranicz dozwolone znaki:

    $filename = pathinfo( $file, PATHINFO_FILENAME );
  4. Podczas przyjmowania danych zbiorczych za pomocą Ajax lub REST API, waliduj uprawnienia:

    if ( ! current_user_can( 'upload_files' ) ) {

Wskaźniki kompromitacji (IoCs) do wyszukania

  • Wartości Alt/title zawierające <script>, onerror=, ładowanie=, JavaScript: Lub <svg tagi.
  • Administratorzy lub redaktorzy z nieznanymi sesjami w nietypowych godzinach.
  • Nietypowe wychodzące żądania HTTP w logach serwera do nieznanych domen (cele eksfiltracji).
  • Niespodziewane powiadomienia administratora lub wyskakujące okna na stronach, które wcześniej ich nie zawierały.
  • Pliki w wp‑uploads z treściami niebędącymi obrazami lub niespodziewanymi rozszerzeniami.

Dlaczego aktualizacja jest najlepszym pierwszym krokiem

Łatka wtyczki do poprawionej wersji (4.9.1 lub nowszej) eliminuje podatną ścieżkę kodu, w której dane wejściowe użytkownika (nazwy plików / generowane alt/title) były zapisywane bez odpowiedniej sanitizacji/escapingu. Łatka zapobiega nowym wstrzyknięciom. Jednak łatka nie usuwa automatycznie wcześniej wstrzykniętych ładunków — nadal musisz przeskanować i oczyścić bazę danych.

Jak WP‑Firewall pomaga Ci się chronić (co oferujemy)

Z perspektywy właściciela strony koncentrujemy się na trzech praktycznych zabezpieczeniach, które zmniejszają ryzyko związane z tego typu podatnością:

  1. Zarządzana zapora aplikacji internetowych (WAF)

    • Wirtualne łatanie: natychmiastowe blokowanie wzorców eksploatacji (złośliwe ładunki w aktualizacjach załączników i punktach końcowych REST), aż będziesz mógł zaktualizować.
    • Trwałe zasady chroniące punkty końcowe przesyłania i działania administratora, aby blokować ładunki, które zawierają <script, błąd, JavaScript: itp.
    • Ograniczanie liczby żądań i blokowanie, aby zapobiec masowemu wprowadzaniu przez skompromitowanych autorów.
  2. Skaner złośliwego oprogramowania i mitigacja

    • Skanuje pola bazy danych powszechnie używane do alt/title obrazów i oznacza podejrzane wartości.
    • Oferuje wskazówki dotyczące czyszczenia i może automatycznie usuwać lub sanitizować niektóre wyniki (za zgodą administratora).
  3. Wsparcie i monitorowanie po incydencie

    • Ciągłe monitorowanie kolejnych ataków i zwiększone logowanie zmian metadanych załączników.
    • Powiadomienia o nowej podejrzanej aktywności (nowe załączniki zawierające tagi lub atrybuty zdarzeń).
    • Egzekwowanie polityki w celu ograniczenia uprawnień dla ról użytkowników, gdzie to stosowne.

Te uprawnienia dają ci czas na łatkę i oczyszczenie swojej strony bez całkowitego wyłączania jej.

Zalecana lista kontrolna krok po kroku do usunięcia (operacyjna)

  1. Wykonaj kopię zapasową bazy danych i plików.
  2. Natychmiast zaktualizuj wtyczkę do wersji 4.9.1 lub nowszej.
  3. Przeszukaj swoją bazę danych pod kątem podejrzanych wartości alt/title (zobacz zapytania detekcyjne powyżej).
  4. Oczyść lub usuń podejrzane wpisy (użyj WP‑CLI lub bezpiecznych skryptów PHP).
  5. Zmień dane logowania administratorów; włącz 2FA dla właścicieli i redaktorów.
  6. Przeprowadź pełne skanowanie złośliwego oprogramowania i sprawdź pod kątem web shelli lub nietypowych plików w przesyłkach.
  7. Cofnij/zmień klucze API lub tokeny używane przez twoich integratorów.
  8. Wzmocnij role: rozważ usunięcie przesyłanie_plików z roli Autora, jeśli nie jest potrzebna.
  9. Włącz regułę WAF blokującą znane wzorce ładunków.
  10. Monitoruj logi i ustaw alerty na zmiany metadanych załączników.

Praktyczne porady dla gospodarzy i agencji

  • Traktuj XSS na poziomie Autora jako wysoką priorytet w instalacjach wielodostępnych lub zarządzanych przez agencje: wstrzyknięty ładunek na stronie jednego klienta może być użyty do przejścia na inne strony, jeśli są obecne wspólne repozytoria Git, dane logowania lub klucze SSH.
  • Zablokuj wykonywanie plików w wp‑uploads. Upewnij się, że wykonywanie PHP jest wyłączone w katalogach przesyłek za pomocą konfiguracji serwera WWW.
  • Wprowadź automatyczne skanowanie bazy danych pod kątem podejrzanych wzorców po aktualizacjach wtyczek jako kontrolę sanity po aktualizacji.
  • Edukuj klientów o ryzyku szerokiego przyznawania uprawnień do przesyłania — wiele stron nadmiernie przydziela role, aby uprościć przepływy pracy z treściami.

Chroń swoją stronę od razu — zacznij od WP‑Firewall Basic (Darmowy)

Plan WP‑Firewall Basic (Darmowy) zapewnia natychmiastową, niezbędną ochronę: zarządzany zapora, ochrona WAF, nielimitowana przepustowość, skaner złośliwego oprogramowania i łagodzenia ryzyk OWASP Top 10 — wszystko, czego potrzebujesz, aby zacząć bronić się przed przechowywanym XSS i wieloma innymi zagrożeniami ze świata rzeczywistego. Jeśli potrzebujesz więcej, nasze poziomy Standard i Pro dodają automatyczne usuwanie złośliwego oprogramowania, listy dozwolonych/zakazanych adresów IP, miesięczne raporty, automatyczne łatki wirtualne i usługi wsparcia premium.

Zarejestruj się teraz w planie Darmowym i uzyskaj natychmiastową ochronę WAF dla swojej strony:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Jeśli zarządzasz wieloma stronami lub potrzebujesz automatycznego czyszczenia i priorytetowego wsparcia, zapoznaj się z opcjami Standard i Pro — są one zaprojektowane dla agencji i stron o krytycznym znaczeniu.)

FAQ (krótkie)

Q: Jeśli zaktualizuję do 4.9.1, czy to usunie wcześniej wstrzyknięte skrypty?
A: Nie. Aktualizacja zamyka lukę, więc żadne nowe ładunki nie mogą być wstrzykiwane przez tę ścieżkę kodu, ale istniejące złośliwe metadane pozostają, dopóki nie przeskanujesz i nie oczyścisz swojej bazy danych i mediów.

Q: Moja strona nie używa autorów — czy jestem bezpieczny?
A: Jesteś mniej narażony, ale nie automatycznie bezpieczny. Jeśli jakikolwiek użytkownik na twojej stronie ma możliwość przesyłania lub edytowania załączników, mogą być one potencjalnie wykorzystane. Ponadto, atakujący czasami kompromitują konta o wyższych uprawnieniach innymi metodami. Zawsze stosuj poprawki i monitoruj.

Q: Co jeśli nie mogę zaktualizować z powodu problemów z kompatybilnością?
A: Tymczasowo wyłącz wtyczkę lub ogranicz możliwości przesyłania dla autorów. Dodaj regułę WAF, aby zablokować ładunki exploitów do punktów końcowych aktualizacji załączników i oczyść istniejące wpisy.

Ostateczna lista kontrolna (jedna strona)

  • Zrób kopię zapasową plików i bazy danych
  • Zaktualizuj wtyczkę do 4.9.1 lub nowszej
  • Przeskanuj bazę danych pod kątem wartości alt/title zawierających <script, błąd, załadować, JavaScript:
  • Oczyść lub usuń złośliwe metadane
  • Zmień dane logowania administratora, włącz 2FA
  • Ogranicz przesyłanie_plików możliwość dla autorów, jeśli nie jest potrzebna
  • Zastosuj reguły WAF, aby zablokować ładunki XSS w punktach końcowych przesyłania/headless
  • Przeprowadź pełne skanowanie złośliwego oprogramowania i sprawdź przesyłane pliki pod kątem powłok
  • Monitoruj logi i ustaw alerty na zmiany metadanych załączników

Jeśli chcesz pomocy w zabezpieczeniu swojej strony i wdrożeniu wirtualnych poprawek oraz oczyszczeniu bazy danych, nasz zespół w WP‑Firewall może pomóc w ukierunkowanej naprawie, zarządzanych wirtualnych poprawkach i sprzątaniu po incydencie. Zacznij od naszej podstawowej (darmowej) ochrony, aby mieć natychmiastowe pokrycie WAF podczas wykonywania powyższych kroków: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Bądź bezpieczny — traktuj każdą aktualizację wtyczki poważnie i zakładaj, że atakujący aktywnie skanują te typy luk.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™