Protegendo o Plugin de Campos Calculados Contra XSS//Publicado em 2026-03-17//CVE-2026-3986

EQUIPE DE SEGURANÇA WP-FIREWALL

Calculated Fields Form CVE-2026-3986 Vulnerability

Nome do plugin Formulário de Campos Calculados
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-3986
Urgência Baixo
Data de publicação do CVE 2026-03-17
URL de origem CVE-2026-3986

Aviso de Segurança Urgente: XSS Armazenado no Plugin Calculated Fields Form (CVE-2026-3986) — O que os Proprietários de Sites WordPress Precisam Fazer Agora

Análise técnica e orientações práticas de mitigação para o XSS armazenado autenticado (Contribuidor) no plugin Calculated Fields Form (≤ 5.4.5.0). Resposta a incidentes passo a passo, detecção, fortalecimento e como o WP‑Firewall pode proteger seu site — incluindo um plano gratuito que você pode ativar hoje.

Resumindo: — Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada (CVE-2026-3986) que afeta as versões do plugin Calculated Fields Form ≤ 5.4.5.0 permite que um usuário autenticado com privilégios de Contribuidor salve conteúdo elaborado nas configurações do formulário do plugin que pode ser executado posteriormente no navegador de usuários com privilégios mais altos. Atualize o plugin para 5.4.5.1 imediatamente. Se você não puder atualizar agora, aplique mitig ações: restrinja as capacidades do Contribuidor, limpe as configurações do formulário armazenadas, use um Firewall de Aplicação Web (WAF) para correção virtual e audite a atividade do usuário. Abaixo está uma análise técnica completa e uma lista de verificação prática passo a passo para remediação e monitoramento.

Introdução

Como defensores e praticantes do WordPress, vemos padrões recorrentes: plugins que aceitam HTML ou marcação semelhante a JavaScript nas configurações às vezes falham em sanitizar ou escapar adequadamente esses dados no momento da renderização. Quando esses dados armazenados são exibidos posteriormente em um contexto administrativo, torna-se uma oportunidade para cross-site scripting (XSS) armazenado. Em 13 de março de 2026, um problema de XSS armazenado divulgado publicamente (CVE-2026-3986) foi relatado para o popular plugin Calculated Fields Form. O fornecedor emitiu um patch na versão 5.4.5.1.

Este post explica o problema em termos técnicos simples, por que isso é importante mesmo que a exploração exija autenticação, como os atacantes podem aproveitá-lo e as mitig ações imediatas e de longo prazo que você pode aplicar — incluindo regras concretas de WAF, consultas de detecção, verificações de banco de dados e ações de resposta a incidentes que você pode usar hoje.

O que aconteceu (resumo)

  • Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta nas versões do plugin Calculated Fields Form ≤ 5.4.5.0.
  • A vulnerabilidade permite que um usuário autenticado com o papel de Contribuidor (ou superior) injete conteúdo nas configurações do formulário do plugin que não é adequadamente escapado na renderização.
  • Esse conteúdo injetado pode ser executado posteriormente por usuários privilegiados (administradores, editores ou outros papéis que visualizam as configurações vulneráveis), permitindo ações como roubo de sessão, escalonamento de privilégios via cadeias CSRF+XSS, desfiguração ou injeção de malware.
  • O problema foi corrigido na versão 5.4.5.1. Os administradores devem atualizar imediatamente.

Por que um Contribuidor autenticado pode ser perigoso

O WordPress possui um rico conjunto de papéis e capacidades, mas muitos sites dão aos contribuintes a capacidade de criar conteúdo. Na maioria dos ambientes, os contribuintes não são confiáveis, mas os plugins frequentemente assumem que o conteúdo criado por papéis autenticados é seguro. Atacantes que controlam contas de contribuidores (por meio de preenchimento de credenciais, engenharia social ou registro de front-end mal configurado) podem usar essas contas para armazenar cargas maliciosas. O XSS armazenado é particularmente potente porque persiste no site e é executado no navegador de alguém com privilégios mais altos — exatamente o padrão que essa vulnerabilidade permite.

Cenário de ataque (alto nível)

  1. Um atacante obtém ou cria uma conta de Contribuidor no site alvo.
  2. O contribuinte usa a interface de configurações do formulário do plugin para salvar valores elaborados que incluem construções semelhantes a HTML/JS.
  3. O plugin armazena esses dados sem escape suficiente.
  4. Um usuário privilegiado (administrador/editor) carrega posteriormente a página administrativa afetada (por exemplo, visualizando ou editando as configurações ou entradas do formulário).
  5. O navegador interpreta o conteúdo armazenado dentro de um contexto administrativo e executa JavaScript na sessão do administrador.
  6. O atacante pode realizar ações privilegiadas por meio da sessão do administrador (por exemplo, criar usuários administradores, exfiltrar credenciais ou instalar backdoors), ou pivotar para uma comprometimento em todo o site.

Por que atualizar é o primeiro e melhor passo

O fornecedor lançou uma correção oficial na versão 5.4.5.1 que aborda a falha subjacente de sanitização/escape. Aplicar patches do fornecedor remove a vulnerabilidade na fonte e é sempre o primeiro passo recomendado.

Se você puder atualizar agora:

  • Faça um snapshot/backup antes da atualização (arquivos + DB).
  • Atualize o plugin para 5.4.5.1 via admin do WP ou substitua diretamente os arquivos do plugin.
  • Após a atualização, verifique o comportamento do plugin (abra as configurações do formulário, verifique se não há cargas úteis suspeitas sendo renderizadas).
  • Gire quaisquer cookies de admin/sessão se você suspeitar de comprometimento.

Se você não puder atualizar imediatamente, siga as mitig ações abaixo.

Análise técnica (o que procurar)

Embora os internos do plugin variem, estas são as mecânicas prováveis com base na divulgação relatada:

  • O plugin armazena configurações de formulário (rótulos, fórmulas, HTML personalizado) nas opções do WordPress, postmeta ou em uma tabela específica do plugin.
  • Campos de entrada que aceitam marcação (HTML em áreas de texto, configurações de exibição personalizadas) não foram sanitizados/codificados na saída.
  • A sanitização foi insuficiente quando os dados armazenados são exibidos dentro de páginas de admin ou renderizados dentro de atributos/manipuladores de eventos.
  • A execução ocorre quando um admin visita as configurações do formulário ou uma página que renderiza o campo armazenado sem escape.

Indicadores que devem fazer você investigar

  • Criação/modificação recente de formulários por contas de contribuidores.
  • Conteúdo semelhante a spam ou estranho nas configurações ou rótulos do formulário.
  • Tags de script inesperadas, atributos de evento, vetores svg/onload, URIs javascript: incorporados nas configurações do plugin.
  • Registros de atividade de admin incomuns em torno de páginas que renderizam configurações do plugin (por exemplo, administradores visualizando formulários ou salvando postmeta).
  • Alterações nas linhas wp_options ou postmeta relacionadas ao plugin com conteúdo semelhante a HTML.

Mitigações práticas imediatas (passo a passo)

  1. Atualize agora (preferido)
    • Atualize o Calculated Fields Form para 5.4.5.1 ou posterior.
  2. Se você não puder atualizar imediatamente
    • Remova ou desative temporariamente o plugin até que você possa atualizar.
    • Se a remoção quebrar funcionalidades críticas, reduza a exposição:
      • Restringa contas de Contribuidores de acessar as páginas do plugin (veja os passos de capacidade abaixo).
      • Use um WAF para bloquear cargas maliciosas e aplique um patch virtual (exemplos abaixo).
      • Restringa a navegação de administradores nas páginas do plugin até que o conteúdo tenha sido auditado.
  3. Restringir as capacidades do Contribuidor
    • Contribuidores não devem ser capazes de editar as configurações do plugin. Use um gerenciador de funções/capacidades para remover capacidades que permitem acesso à interface de administração do plugin (por exemplo, removendo ‘edit_posts’ da capacidade da interface específica do plugin ou bloqueando o acesso às páginas de administração do plugin).
    • Alternativamente, exija um fluxo de aprovação: exija que Editores/Administradores aprovem formulários antes da publicação.
  4. Audite e limpe o conteúdo armazenado.
    • Pesquise no banco de dados por entradas suspeitas (procure por “<script”, “onerror=”, “javascript:” etc).
    • Exemplo de busca WP‑CLI (seguro, somente leitura): 
      wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onerror=%' LIMIT 100;"
    • Você pode adaptar as consultas para as tabelas do plugin (se ele usar tabelas de DB personalizadas).
    • Para cada entrada suspeita: copie para um ambiente seguro, revise o conteúdo e remova ou sane os fragmentos maliciosos. Restaure de um backup anterior à exploração, se necessário.
  5. Rode as credenciais de administrador e revise as sessões.
    • Force o logout de todas as sessões ativas para administradores e rode as senhas das contas de administrador.
    • Ative a 2FA para contas de administrador/editor.
  6. Reforce a navegação do administrador
    • Aplique uma Política de Segurança de Conteúdo (CSP) que impeça a execução de scripts inline nas páginas de administração, quando possível.
    • Considere habilitar “Bloquear edições de arquivos” e outros passos padrão de endurecimento do WP.

Recomendações de WAF e patch virtual.

Um WAF fornece uma camada de mitigação imediata enquanto você atualiza ou limpa o site. Aqui estão regras práticas de WAF e exemplos que você pode implantar. As regras devem ser ajustadas para evitar falsos positivos em conteúdo HTML legítimo usado por editores confiáveis.

  1. Bloquear solicitações contendo padrões comuns de XSS enviadas para os endpoints de administração do plugin
    • Exemplo de pseudo-regra (conceitual):
      • Combinar solicitações HTTP POST para /wp-admin/* ou para os endpoints AJAX do plugin onde um parâmetro contém “<script” OU “javascript:” OU “onerror=” OU “onload=” OU “data:image/svg+xml”.
      • Bloquear com 403 ou sanitizar a entrada e alertar.
    • Exemplos de padrões para combinar nos corpos POST:
      • /<\s*script/i
      • /on\w+\s*=\s*[“‘]?javascript:/i
      • /javascript\s*:/i
      • /<svg[\s\S]*onload=/i
  2. Prevenir a entrega de XSS armazenado no momento da renderização
    • Identificar páginas onde as configurações do plugin são renderizadas e sanitizar o HTML de saída removendo atributos semelhantes a script antes de enviar ao navegador (Modificação de Conteúdo).
    • Exemplo: remover atributos que começam com “on” (onload, onclick) do HTML armazenado ao ser exibido nas páginas de administração.
  3. Bloquear parâmetros GET de administração suspeitos e referenciadores
    • Bloquear carregamentos de páginas de administração que contenham valores de parâmetros suspeitos (por exemplo, parâmetros de URL que são longos e contêm fragmentos de script) e registrá-los.
  4. Limitar a criação de formulários / conteúdo por contas de baixo privilégio
    • Controlar solicitações POST para endpoints de plugins para contas de contribuidores (limite por minuto/hora).
  5. Monitorar e notificar sobre visualizações de administração das configurações do plugin
    • Acionar alertas de detecção quando administradores carregam páginas de configuração do plugin (especialmente se essas páginas estiverem exibindo conteúdo que corresponda a padrões conhecidos).

Exemplo de regra WAF (conceitual, ajuste antes da produção)

Nota: O seguinte é uma regra conceitual mostrando padrões e ações. Adapte à sintaxe do seu mecanismo WAF.

- Nome da regra: Block-Calculated-Fields-Stored-XSS.

Lista de verificação de detecção e resposta

Se você suspeitar de exploração, execute esta lista de verificação na ordem:

  1. Isolar e preservar
    • Faça um backup completo (arquivos + DB) e faça uma cópia para análise forense. Preserve os logs do servidor (servidor web, PHP-FPM, banco de dados) cobrindo o período relevante.
  2. Identificar configurações potencialmente maliciosas
    • Execute as consultas de descoberta WP‑CLI/SQL descritas acima para encontrar construções HTML/JS armazenadas suspeitas.
  3. Determinar o escopo do impacto
    • Verifique a atividade recente dos usuários administradores, procure contas de administrador desconhecidas, instalações de plugins suspeitas ou alterações no sistema de arquivos (arquivos de plugin/tema modificados).
    • Pesquise no diretório de uploads por PHP inesperado, backdoors ou arquivos modificados.
  4. Limpar e restaurar
    • Se o conteúdo malicioso for pequeno e claramente identificável, remova o fragmento e execute novamente as verificações de segurança.
    • Se o site apresentar comprometimento mais profundo (novos usuários administradores, webshells ou arquivos de núcleo/plugin alterados), restaure a partir de um backup limpo datado antes do comprometimento e altere todas as credenciais.
  5. Rotacione segredos
    • Redefina todas as senhas de administradores e editores.
    • Regenerar chaves de API, tokens de serviço e quaisquer segredos de integração de terceiros.
  6. Atualize e endureça
    • Atualize o Calculated Fields Form e todos os outros plugins/temas/núcleo.
    • Aplique as etapas de endurecimento e os patches virtuais WAF descritos acima.
  7. Monitore
    • Mantenha o registro elevado e a monitorização ativados por pelo menos duas semanas.
    • Monitore usuários administradores visualizando ou salvando páginas de plugins e padrões repetidos de envios suspeitos.

Comandos de banco de dados e WP‑CLI para investigação

Abaixo estão consultas seguras e somente leitura que você pode executar para encontrar conteúdo suspeito. Execute estas a partir de uma conta de administrador segura ou via SSH com wp-cli:

  • Encontre postmeta ou opções relacionadas a plugins suspeitos:
# Pesquisar tags de script em postmeta"
  • Listar edições recentes por contas com função de Contribuidor (requer plugin de registro de atividade ou consulta contra a tabela de posts onde post_author são IDs de usuários Contribuidores):
# Encontre usuários com o papel de 'contribuidor'

Estratégia de limpeza

– Para cada entrada suspeita encontrada, exporte a linha para um ambiente seguro e revise. Se contiver apenas marcação benigna (por exemplo, código curto), nenhuma ação é necessária. Se incluir script ativo ou atributos suspeitos, remova e sane, depois re-teste.

– Em caso de dúvida, reverta todas as configurações do plugin a partir de um backup conhecido como bom antes da data de exploração.

– Após a limpeza, execute uma verificação completa de malware e verificação de integridade de arquivos.

Recomendações de endurecimento (longo prazo)

  1. Princípio do menor privilégio
    • Avalie se as contas de Contribuidor precisam das habilidades que possuem. Limite quem pode criar ou modificar as configurações do plugin.
  2. Filtragem de conteúdo
    • Sempre que possível, proíba usuários com baixo privilégio de inserir HTML ou JS bruto nas configurações do plugin. Forneça editores saneados.
  3. Escapando a saída
    • Os desenvolvedores de plugins devem sempre escapar dados dinâmicos na saída usando funções apropriadas (por exemplo, esc_html(), esc_attr(), wp_kses_post() para tags permitidas). Os proprietários de sites devem preferir plugins que sigam padrões de codificação segura.
  4. Use cabeçalhos de segurança
    • Implemente cabeçalhos de segurança HTTP fortes:
      • Content-Security-Policy (proibir scripts inline para páginas de administração onde for prático)
      • X-Content-Type-Options: nosniff
      • Opções de quadro X: MESMAORIGEM
      • Referrer-Policy e Strict-Transport-Security
  5. Monitoramento e registro
    • Ative o registro de atividades para ações de usuários (quem mudou o que e quando).
    • Monitore acessos a páginas de administração e padrões incomuns (várias visualizações de páginas de administração por IPs de baixo privilégio, etc).
  6. Escaneamento programado e testes de penetração
    • Execute varreduras de vulnerabilidade periódicas e, para sites de maior valor, testes de penetração periódicos para descobrir problemas antes que os atacantes o façam.

Sobre risco e CVSS

O CVSS relatado de 6.5 coloca essa vulnerabilidade em uma faixa de severidade média. No entanto, o contexto importa: um XSS armazenado que é executado em navegadores de administrador pode ser um vetor para comprometimento total. Qualquer vulnerabilidade que conceda execução do lado do cliente no contexto de um usuário administrativo deve ser tratada seriamente.

Por que um Firewall de Aplicação Web (WAF) é importante aqui

Um WAF configurado corretamente oferece vários benefícios:

  • Patching virtual: Você pode bloquear padrões de exploração conhecidos imediatamente, mesmo que não consiga aplicar atualizações de código de uma só vez.
  • Limitação de taxa e controle de acesso: Limite como os colaboradores interagem com os endpoints do plugin.
  • Sanitização de entrada e bloqueio de conteúdo: Remova ou bloqueie cargas úteis perigosas em solicitações de entrada.
  • Alertas: Acione alertas sobre cargas úteis suspeitas enviadas para a área de administração.

Ações e recomendações específicas do WP‑Firewall

No WP‑Firewall, construímos camadas de proteção projetadas para reduzir o tempo de mitigação para ameaças como esta:

  • Detecção automática de assinaturas de plugins vulneráveis conhecidos e conjuntos de regras automatizadas que bloqueiam cargas úteis XSS comuns direcionadas a endpoints de plugins.
  • Regras de WAF virtualmente corrigidas para vulnerabilidades de alto risco (aplicadas assim que uma vulnerabilidade validada se torna pública).
  • Escaneamento e inspeções programadas das configurações e opções do plugin para construções HTML/script suspeitas.
  • Regras cientes de função que aplicam filtragem mais rigorosa para solicitações de contas com privilégios baixos (por exemplo, Colaborador).
  • Playbooks de resposta a incidentes e retenção de logs para apoiar investigações pós-incidente.

Como priorizar a remediação em muitos sites

Se você gerencia uma frota de sites, priorize a remediação com base na exposição e no valor:

  1. Sites com registro público habilitado e muitas contas de colaboradores — conserte primeiro.
  2. Sites com usuários administrativos de alto valor (e-commerce, associações ou integrações financeiras) — conserte primeiro.
  3. Sites que não têm backups recentes ou onde as sessões administrativas não estão protegidas por MFA — prioridade maior.

Um plano de priorização prático:

  • Fase 1 (24 horas): Corrija todos os sites de produção com o plugin instalado para 5.4.5.1.
  • Fase 2 (48–72 horas): Audite e limpe as configurações de formulário armazenadas em todos os sites, gire as credenciais administrativas, ative 2FA para contas privilegiadas.
  • Fase 3 (1–2 semanas): Implemente patches virtuais de WAF e monitoramento, execute escaneamentos completos do site e revise os logs de acesso.

Proteja seu site hoje com um WAF gratuito e poderoso.

Se você está procurando proteção gerenciada imediata enquanto corrige e audita, o WP‑Firewall oferece um plano Básico gratuito que fornece proteção essencial: um firewall de aplicativo web gerenciado (WAF), largura de banda ilimitada, varredura de malware e mitigação para os riscos do OWASP Top 10. Atualizar depois adiciona remoção automática de malware, controles de permissão/bloqueio de IP, correção virtual automática, relatórios de segurança mensais e serviços gerenciados.

Inscreva-se no plano Básico gratuito aqui

Resumo rápido do plano:

  • Básico (Gratuito): Firewall gerenciado, largura de banda ilimitada, WAF, scanner de malware, mitigação para OWASP Top 10.
  • Padrão ($50/ano): Adiciona remoção automática de malware e listas de permissão/negação de IP (até 20).
  • Pro ($299/ano): Adiciona relatórios de segurança mensais, correção virtual automática de vulnerabilidades, complementos premium e serviços gerenciados.

Por que usar o plano gratuito agora

  • Correção virtual: Obtenha regras que bloqueiam padrões de ataque conhecidos hoje.
  • Detecção rápida: Alertas e varreduras de malware priorizam descobertas críticas.
  • Baixa fricção: Implemente rapidamente sem alterar o código ou os fluxos de trabalho do site.

Perguntas frequentes (FAQ)

Q: Meu site não usa o plugin Calculated Fields Form. Estou afetado?

A: Não — essa vulnerabilidade específica afeta apenas as versões do plugin Calculated Fields Form ≤ 5.4.5.0. No entanto, as estratégias de mitigação e os passos de detecção neste post são aplicáveis a outros plugins que aceitam e renderizam HTML fornecido pelo usuário.

Q: O papel de colaborador é confiável no meu site — devo me preocupar?

A: Sim. Qualquer papel que pode armazenar dados que serão renderizados em um contexto administrativo é um vetor potencial para XSS armazenado. Limite privilégios e imponha um fluxo de trabalho de aprovação sempre que possível.

Q: O conteúdo pode ser sanitizado automaticamente?

A: Sim — você pode sanitizar campos armazenados usando scripts do lado do servidor, rotinas de limpeza ou ganchos do WP. Mas, quando possível, aplique o patch upstream ao plugin. Um WAF pode adicionalmente sanitizar ou bloquear cargas úteis de entrada como uma camada de proteção.

Q: Uma Política de Segurança de Conteúdo (CSP) evitará essa exploração?

A: Uma CSP rigorosa que proíbe scripts inline e fontes de scripts externas pode bloquear silenciosamente alguns scripts injetados. No entanto, a CSP não é um substituto para corrigir a vulnerabilidade subjacente — é complementar.

Notas finais — defesa proativa e higiene operacional

XSS armazenado em contextos administrativos está entre as classes de vulnerabilidade mais perigosas porque aproveita relacionamentos de confiança locais: o usuário está autenticado e o conteúdo é executado em seu navegador com os direitos que esse usuário possui. Como defensores de ambientes WordPress, nosso trabalho é combinar correção rápida, higiene de papéis, proteção WAF e monitoramento robusto.

Lista de verificação de ações imediatas — faça isso agora:

  • Atualize o Calculated Fields Form para 5.4.5.1.
  • Se você não puder atualizar imediatamente, desative o plugin ou restrinja as capacidades do Colaborador.
  • Execute as consultas SQL/WP‑CLI de descoberta mostradas acima para encontrar conteúdo armazenado suspeito e removê-lo.
  • Adicione regras WAF para bloquear os padrões mostrados acima e aplique correções virtuais.
  • Rotacione credenciais de administrador e ative 2FA.
  • Monitore os acessos à página de administração e defina alertas para carregamentos ou POSTs suspeitos da página de administração.

Se você precisar de ajuda

Se você precisar de assistência prática com detecção, limpeza ou aplicação de correções virtuais, a equipe do WP‑Firewall oferece serviços gerenciados e resposta a incidentes de emergência adaptados a ambientes WordPress. Nosso plano Básico gratuito é uma maneira rápida de obter proteção básica enquanto você trabalha nas etapas de remediação: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Apêndice — Padrões de busca seguros e regras de monitoramento

Padrões de busca que você pode usar em scanners ou logs (não exaustivo):

  • “<script” (não diferencia maiúsculas de minúsculas)
  • “javascript:” usado dentro de atributos ou URLs
  • “Atributos ”on[a-z]+” (onload, onerror, onclick, etc.)
  • “data:image/svg+xml” com script embutido ou atributos onload
  • Strings JSON codificadas incomumente longas nos campos de configurações de plugins

Sugestões de monitoramento de logs:

  • Alerta quando Contribuidores enviam formulários ou páginas de configurações na interface de administração
  • Alerta quando usuários administradores visualizam configurações de plugins que contêm padrões suspeitos
  • Alerta em eventos de atualização de plugins ou se arquivos de plugins forem modificados fora das janelas normais de manutenção

Lembrete final

Aplique o patch primeiro. Audite e limpe em segundo lugar. Use defesas em camadas (WAF + menor privilégio + monitoramento) para reduzir a superfície de ataque. XSS armazenado pode ser sutil, mas com uma resposta medida e orientada por processos, você pode rapidamente minimizar o raio de explosão e prevenir a comprometimento da sessão do administrador. Se você deseja um WAF gerenciado rápido para implantar correções virtuais e bloquear padrões comuns de XSS gratuitamente hoje, visite https://my.wp-firewall.com/buy/wp-firewall-free-plan/ e obtenha proteção em minutos.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™