Aviso de Download de Arquivo Arbitrário do Smart Slider 3//Publicado em 2026-03-27//CVE-2026-3098

EQUIPE DE SEGURANÇA WP-FIREWALL

Smart Slider 3 Vulnerability

Nome do plugin Smart Slider 3
Tipo de vulnerabilidade Download de Arquivo Arbitrário
Número CVE CVE-2026-3098
Urgência Alto
Data de publicação do CVE 2026-03-27
URL de origem CVE-2026-3098

Urgente: Download Arbitrário de Arquivos (CVE-2026-3098) no Smart Slider 3 — O que os Proprietários de Sites WordPress Devem Fazer Agora

Data: 27 de Março de 2026
Autor: Equipe de Segurança do Firewall WP

Uma vulnerabilidade de alta prioridade (CVE-2026-3098) afetando o popular plugin Smart Slider 3 foi divulgada. Versões até e incluindo 3.5.1.33 são vulneráveis a um problema de download arbitrário de arquivos autenticados via uma ação AJAX chamada “actionExportAll”. O problema permite que um usuário com privilégios de Assinante baixe arquivos do servidor web que ele não deveria conseguir acessar. O fornecedor lançou um patch na versão 3.5.1.34 do Smart Slider 3. A pontuação CVSS publicada para este problema é 6.5 e a causa raiz se relaciona a Controle de Acesso Quebrado.

Se você executa o Smart Slider 3 em seu site, assuma que está em risco até que você atualize. Abaixo, explicamos em termos simples e acionáveis o que essa vulnerabilidade permite, como os atacantes (ou ferramentas de exploração em massa automatizadas) tentarão usá-la, como detectar a exploração, mitigação imediata que você pode aplicar (incluindo sugestões de patch virtual/WAF) e endurecimento a longo prazo para reduzir o risco no futuro.

Isso é escrito da perspectiva de engenheiros de segurança do WordPress experientes — passos práticos e priorizados que você pode tomar imediatamente, além de medidas mais profundas de remediação e prevenção.

Resumo executivo (o que você precisa saber, rápido)

  • Vulnerabilidade: download arbitrário de arquivos via o endpoint AJAX do plugin (actionExportAll).
  • Versões afetadas: Smart Slider 3 <= 3.5.1.33.
  • Versão corrigida: 3.5.1.34 (atualize imediatamente).
  • CVE: CVE-2026-3098.
  • Privilégio necessário: Assinante autenticado (ou seja, até mesmo usuários logados com baixo privilégio).
  • Risco: Alto. Atacantes podem baixar arquivos sensíveis (backups, arquivos de configuração, chaves privadas, exportações de DB) e escalar a comprometimento. Isso é atraente para campanhas de exploração em massa.
  • Ação imediata: atualize o plugin agora. Se você não puder atualizar, aplique uma ou mais mitigação abaixo (bloqueio de regra/evento WAF, desabilitar funcionalidade ofensiva, restringir acesso a endpoints admin-ajax, endurecer permissões de arquivos, escanear por comprometimento).

O que a vulnerabilidade faz (visão técnica)

O Smart Slider 3 expõe uma ação AJAX que lida com a exportação de conteúdo. A vulnerabilidade relatada surge porque o código que lida com a exportação não aplica corretamente o controle de acesso e a sanitização do caminho do arquivo solicitado. Um usuário autenticado (mesmo uma conta de Assinante) pode invocar a ação AJAX (chamada “actionExportAll”, conforme o aviso) e solicitar arquivos arbitrários do servidor. O plugin retorna o conteúdo do arquivo solicitado como um download, permitindo a exfiltração de qualquer arquivo que o processo PHP possa ler.

Alvos sensíveis comuns para atacantes incluem:

  • wp-config.php (credenciais do banco de dados)
  • Arquivos de backup e arquivos compactados (backups do site frequentemente contêm credenciais e dados completos do site)
  • .Arquivos .env ou outros arquivos de configuração privados
  • Chaves SSH ou arquivos de certificado privado se armazenados acidentalmente sob a raiz da web
  • Dumps de banco de dados e arquivos de exportação específicos de plugins
  • Arquivos de dados do usuário e armazenamentos de sessão

Como o atacante só precisa de uma conta de Assinante, essa vulnerabilidade é particularmente perigosa em sites que permitem registro fácil (registro aberto), ou em sites onde atacantes podem registrar ou obter contas de assinante via credential stuffing ou takeover de conta.

Por que isso é perigoso — impacto no mundo real

  • Downloads de arquivos arbitrários permitem que atacantes obtenham credenciais e chaves secretas, possibilitando a tomada total do site.
  • Backups ou dumps de banco de dados exfiltrados expõem dados pessoais do usuário, criando obrigações de violação de privacidade e potencial exposição regulatória.
  • Uma vez que as credenciais são adquiridas, os atacantes podem escalar para admin, instalar backdoors, pivotar para outros sistemas ou usar a infraestrutura do site para phishing/distribuição de malware.
  • Vulnerabilidades que requerem apenas baixos privilégios são comumente exploradas em campanhas em massa — atacantes automatizam a criação de contas e escaneiam por plugins vulneráveis em milhares de sites.

Dada a baixa exigência de privilégios e o vetor de exploração direto (uma ação AJAX), a probabilidade de exploração ativa é alta. Trate isso como uma atualização urgente.

Como os atacantes tentarão explorar isso (cenários)

  1. Escaneamento e registro em massa: Bots automatizados escaneiam por versões vulneráveis de plugins. Se o registro estiver aberto, os bots criam contas de assinante e invocam a ação de exportação para solicitar caminhos prováveis (por exemplo, /wp-config.php, nomes de arquivos de backup).
  2. Credential stuffing: Atacantes reutilizam credenciais vazadas para contas de baixo privilégio para fazer login como assinantes existentes e chamar a ação de exportação.
  3. Contas internas/comprometidas: Uma conta de assinante maliciosa ou comprometida (funcionário demitido, afiliado, fornecedor) pode exfiltrar arquivos.
  4. Encadeamento para escalar: Baixar wp-config.php e credenciais do DB permite que o atacante acesse o banco de dados, crie um usuário admin ou altere opções do site.

Detectando exploração — o que procurar agora

Verifique os logs de acesso do servidor e os logs de aplicação em busca de padrões que indiquem chamadas à ação de exportação. Procure especialmente por solicitações a admin-ajax.php (ou outros endpoints AJAX) que incluam a string action=actionExportAll ou similar.

Padrões de pesquisa (substitua o caminho do access_log e o intervalo de datas conforme necessário):

Exemplos de grep de log de acesso Apache/Nginx:

# Procure a ação AJAX exata nos logs

Procure por:

  • Solicitações de usuários autenticados (cookie de login bem-sucedido / padrões de cookie) invocando admin-ajax.php com ação de exportação.
  • Solicitações que resultam em grandes respostas (downloads de arquivos).
  • Solicitações do mesmo endereço IP que solicitam nomes de arquivos diferentes (estilo iterador).
  • Solicitações que incluem sequências de travessia de caminho (../) ou referências a wp-config.php, .env, .sql, .zip, .bak.

Verificações específicas do WP:

  • Use WP‑CLI para listar usuários e contas suspeitas:
# Liste usuários com a função de assinante
  • Procure por contas de assinantes novas inesperadas criadas em torno do momento de atividade de log suspeita.

Verificações do sistema de arquivos:

  • Verifique o webroot em busca de novos arquivos (webshells/backdoors) e por arquivos de backup inesperadamente presentes em wp-content ou outras pastas públicas.
  • Procure por timestamps modificados de arquivos principais, arquivos de plugins ou arquivos de temas.

Verificação de malware:

  • Execute uma varredura completa de malware no site com suas ferramentas de segurança (ou use o scanner incluído em sua suíte de segurança/firewall) para detectar arquivos incomuns ou backdoors após exploração suspeita.

Auditoria de logs:

  • Se você tiver registro de atividades (registro de auditoria, logs de ações de administrador), revise a criação de usuários, mudanças de função, instalações de plugins e edições inesperadas.

Indicadores de Compromisso (IoCs) para pesquisar:

  • Logs de acesso contendo “action=actionExportAll” ou solicitações admin-ajax que retornam comprimento de conteúdo diferente de zero com tipo de conteúdo application/octet-stream.
  • Novas contas de assinantes criadas pelo mesmo IP ou dentro de curtos intervalos.
  • Downloads de arquivos incomuns após chamadas admin-ajax.

Lista de verificação de remediação imediata (ordenada por prioridade)

  1. Atualize o Smart Slider 3 para 3.5.1.34 (ou a versão mais recente disponível) imediatamente.
    – Na interface de administração: Painel → Plugins → atualize o Smart Slider 3.
    – Ou via WP‑CLI:

    wp plugin atualizar smart-slider-3

    Atualizar o plugin é a solução definitiva. Se você gerencia vários sites, priorize isso em sua frota.

  2. Se você não puder atualizar agora, implemente um patch virtual / regra WAF para bloquear tentativas de exploração (veja exemplos de WAF abaixo). Considere também desativar temporariamente o plugin até que você possa atualizar.
  3. Bloqueie a ação de exportação via um pequeno mu-plugin (pare o manipulador AJAX para não-administradores). Coloque um arquivo em wp-content/mu-plugins/desativar-ss3-export.php: 
    <?php;

    Nota: Esta abordagem intercepta a ação AJAX cedo e nega acesso a não-administradores. É uma mitigação temporária pragmática até que você possa aplicar o patch do fornecedor.

  4. Use seu firewall para bloquear solicitações contendo a palavra-chave de ação se elas vierem de IPs suspeitos ou se a solicitação se originou de contas que não são administradores (patch virtual). Veja regras de exemplo abaixo.
  5. Restringir permissões de arquivo e remover backups públicos:
    – Garantir wp-config.php é 600–640 e não legível pelo mundo.
    – Remova arquivos de backup da raiz da web. Mova-os para um local seguro fora do site.
    – Certifique-se de que os diretórios de uploads não contenham arquivos compactados ou potencialmente sensíveis.
  6. Rotacione credenciais — assuma que as credenciais podem ter sido expostas se você encontrar acessos suspeitos:
    – Credenciais do banco de dados (se wp-config.php estava acessível).
    – Tokens de API usados pelo site, senhas de serviços de terceiros.
    – Altere a(s) senha(s) de administrador e invalide sessões (force o logout de todos os usuários).
  7. Escaneie e remede:
    – Execute uma varredura completa de malware (plugin ou externo).
    – Se você detectar sinais de comprometimento ativo, coloque o site offline, restaure de um backup conhecido e limpo (antes do comprometimento) e reaplique as atualizações.
  8. Revise e fortaleça os registros de usuários:
    – Desative o registro aberto se não for necessário.
    – Adicione verificação de e-mail, CAPTCHA ou aprovação manual para novas contas.
    – Aplique políticas de senha mais rigorosas e considere limitar os nomes de usuário permitidos.

Exemplos de WAF / patch virtual (orientação para administradores e hospedadores)

Se você executar um firewall (de rede ou de aplicativo) ou tiver acesso às regras do ModSecurity / nginx, pode bloquear tentativas de exploração direcionadas ao nome da ação AJAX e padrões de caminho típicos. Estes são exemplos — adapte ao seu ambiente e teste antes de implantar em produção.

Exemplo de regra ModSecurity (conceitual):

# Bloquear chamadas admin-ajax.php tentando actionExportAll com um padrão de cookie não administrativo"

Explicação: Isso bloqueia solicitações para admin-ajax.php contendo o parâmetro actionExportAll provenientes de solicitações não autenticadas. Como a exploração requer autenticação, pode ser necessário bloquear ou desafiar qualquer solicitação que corresponda a actionExportAll, a menos que ela se origine de um IP administrativo na lista branca.

Exemplo de Nginx (bloqueio por argumento, simplista):

if ($request_uri ~* "admin-ajax\.php" ) {

Importante: Esta regra simplista do nginx bloqueará TODAS as solicitações usando essa ação — o que é desejável como uma mitigação de emergência, mas pode interferir em tarefas administrativas legítimas se seus administradores usarem a funcionalidade de exportação. Use uma lista branca cuidadosa para IPs administrativos ou remova a regra após o patch.

Sugestões de padrões genéricos de WAF:

  • Bloqueie ou desafie solicitações para admin-ajax.php ou admin-post.php que contenham action=actionExportAll ou outras palavras-chave de exportação.
  • Bloqueie solicitações que incluam sequências de travessia de caminho (../) nos parâmetros de consulta.
  • Limite a taxa para ações AJAX para prevenir enumeração por força bruta.
  • Se possível, verifique a sessão/cookie e exija maior capacidade do usuário antes de permitir a ação.

Se você tiver um WAF avançado que examine cookies/papéis, bloqueie explicitamente solicitações onde o papel do usuário é assinante tentando essa ação. Se não estiver disponível, bloquear a ação para todos os IPs não administrativos ou exigir um cabeçalho (como uma lista branca de IPs administrativos) é eficaz.

Um mu-plugin prático para neutralizar a vulnerabilidade (patch rápido)

Crie um arquivo de plugin obrigatório (salvo em wp-content/mu-plugins/desativar-ss3-export.php). Isso é executado mesmo se outros plugins estiverem desativados:

<?php
/**
 * Disable Smart Slider 3 export endpoint for non-admins
 */

add_action('admin_init', function() {
    if ( defined('DOING_AJAX') && DOING_AJAX ) {
        $action = isset($_REQUEST['action']) ? strtolower($_REQUEST['action']) : '';
        if ( $action === 'actionexportall' ) {
            // Allow only administrators (manage_options capability)
            if ( ! current_user_can( 'manage_options' ) ) {
                // Stop the request; return HTTP 403
                wp_send_json_error( 'Forbidden', 403 );
                exit;
            }
        }
    }
}, 1);

Notas:
– Esta é uma medida de proteção temporária. Ela apenas bloqueia a ação nomeada para não-administradores, o que aborda o vetor de ataque relatado.
– Teste cuidadosamente em uma cópia de staging antes de enviar para produção, especialmente se seu site usar os recursos de exportação do Smart Slider 3 para fluxos de trabalho legítimos.

Resposta a incidentes — se você suspeitar que foi comprometido

  1. Atualize imediatamente o plugin para a versão corrigida e implemente uma regra WAF para bloquear a exfiltração adicional.
  2. Coloque o site em modo de manutenção ou tire-o do ar até que você complete a triagem (se uma violação ativa for suspeitada).
  3. Altere todas as credenciais de usuários administrativos e gire as credenciais do banco de dados se o wp-config.php foi exposto.
  4. Escaneie em busca de web shells/backdoors, tarefas agendadas inesperadas (entradas cron) e novos usuários administradores.
  5. Restaure a partir de um backup limpo (de antes da violação) se você encontrar backdoors persistentes.
  6. Revise os logs do servidor e da aplicação para determinar o escopo de acesso:
    • Quais arquivos foram baixados?
    • Quais contas foram usadas?
    • Quais IPs estavam envolvidos?
  7. Notifique as partes interessadas e siga quaisquer obrigações legais ou regulatórias de relatório para violações de dados (se dados pessoais foram expostos).
  8. Realize um endurecimento completo de segurança conforme descrito na seção “endurecimento” abaixo.

Se você precisar de ajuda com triagem forense ou remediação, consulte um provedor de segurança confiável ou seu provedor de hospedagem.

Endurecimento e prevenção (além da correção imediata)

Corrigir o plugin aborda a falha imediata, mas siga estas melhores práticas para reduzir a exposição a problemas semelhantes no futuro:

  • Princípio do menor privilégio:
    • Dê aos usuários apenas os papéis e capacidades que eles precisam.
    • Evite conceder a autores ou colaboradores mais privilégios do que o necessário.
  • Controles de registro:
    • Desative o registro público se não for necessário.
    • Exija verificação de e-mail e use CAPTCHA em formulários de registro.
  • Imponha senhas fortes e considere a autenticação multifatorial (MFA) para administradores.
  • Higiene de plugins:
    • Mantenha um inventário de plugins e temas instalados e atualize-os prontamente.
    • Remova plugins e temas não utilizados.
    • Inscreva-se em feeds de vulnerabilidade confiáveis ou monitoramento para detectar novos problemas rapidamente.
  • Cópias de segurança:
    • Armazene backups fora do diretório da web e os criptografe.
    • Use políticas de retenção e verifique backups periodicamente.
  • Permissões de arquivo:
    • Certifique-se de que wp-config.php e outros arquivos sensíveis não sejam legíveis publicamente.
    • Evite armazenar segredos em arquivos sob o diretório público da web.
  • Registro e monitoramento:
    • Ative e centralize logs (logs de acesso, logs de erro).
    • Monitore atividades de login anômalas e solicitações admin/ajax incomuns.
  • Estratégia de atualização automatizada:
    • Sempre que possível, ative atualizações automáticas para correções de segurança (ou aplique automaticamente para plugins críticos).
  • WAF e patching virtual:
    • Mantenha um WAF que possa implantar patches virtuais quando as correções de plugins ainda não estiverem disponíveis para todos os sites.
    • Crie regras personalizadas para bloquear cargas úteis suspeitas e padrões de exploração conhecidos.
  • Acesso a arquivos com o menor privilégio para processos do servidor de aplicativos: certifique-se de que o usuário do servidor web não possa ler arquivos que não deveria precisar (por exemplo, limite o acesso aos diretórios de outros sites).

Comandos e verificações de detecção práticas

  • Listar versão do plugin: 
    wp plugin get smart-slider-3 --field=versão
  • Encontre eventos de exportação admin-ajax nos logs: 
    zgrep -i "admin-ajax.php.*action=actionExportAll" /var/log/nginx/access.log* | cut -d' ' -f1,4,7,11,12
  • Encontre respostas grandes recentes (possíveis downloads de arquivos) do admin-ajax: 
    awk '$7 ~ /admin-ajax.php/ && $10 > 10000 {print $0}' /var/log/nginx/access.log
  • Verifique as permissões de arquivo: 
    ls -l wp-config.php
  • Verifique se há backups sob o webroot: 
    find . -type f -iname "*.zip" -o -iname "*.sql" -o -iname "*.tar.gz" | less

Como o WP-Firewall ajuda (nossos serviços e como eles se relacionam com este incidente)

No WP-Firewall, gerenciamos milhares de sites WordPress e mantemos inteligência de ameaças em tempo real. As maneiras típicas como nosso WAF gerenciado e serviços de segurança ajudam durante incidentes como CVE-2026-3098 incluem:

  • Patching virtual rápido: bloqueio automático de solicitações que correspondem a padrões de exploração (por exemplo, chamadas admin-ajax com actionExportAll) até que cada site esteja corrigido. Patches virtuais são aplicados centralmente e reduzem a janela de ataque.
  • Regras de firewall gerenciadas ajustadas para WordPress: assinaturas para detectar travessia de caminho, uso incomum de admin-ajax e tentativas de exfiltração.
  • Escaneamento e remoção de malware: detectar arquivos criados ou modificados como parte da exploração e remover cargas conhecidas.
  • Monitoramento e relatórios contínuos: notificamos os proprietários dos sites sobre tentativas de exploração e fornecemos detalhes forenses.
  • Recomendações de fortalecimento de segurança e suporte à implementação.

Se você usar um WAF gerenciado e tiver configurado para bloquear os padrões descritos acima, pode reduzir o risco enquanto aplica o patch do fornecedor em seu ambiente.

Cronograma sugerido para resposta (playbook recomendado)

  • Dentro de 0–1 horas:
    • Implante a regra WAF para bloquear a ação de exportação do admin-ajax (ou desative o plugin).
    • Se houver registro aberto, desative-o temporariamente.
  • Dentro de 1–4 horas:
    • Atualize o Smart Slider 3 para a versão corrigida 3.5.1.34 em todos os sites afetados.
    • Implemente a mitigação do mu‑plugin se você não puder atualizar imediatamente.
  • Dentro de 24 horas:
    • Audite os logs em busca de sinais de exploração e escaneie em busca de arquivos suspeitos.
    • Rode credenciais se arquivos sensíveis foram expostos.
  • Dentro de 72 horas:
    • Restaure quaisquer sites comprometidos a partir de backups limpos, se necessário.
    • Reforce os controles de registro e login de usuários.
  • Em andamento:
    • Monitore atividades maliciosas de acompanhamento e inscreva sites em um programa gerenciado de WAF/monitoramento.

FAQ — respostas rápidas

Q: Esta exploração funciona sem fazer login?
A: Não. O problema relatado requer uma conta autenticada (Assinante). No entanto, muitos sites permitem registro fácil, ou atacantes podem usar preenchimento de credenciais para obter acesso de baixo privilégio.

Q: E se eu não usar o Smart Slider 3?
A: Você não é afetado por esta vulnerabilidade específica. No entanto, o conselho mais amplo (princípio do menor privilégio, WAF, backups, monitoramento) continua relevante.

Q: Eu atualizei o plugin — isso é suficiente?
A: Atualizar para a versão 3.5.1.34 ou posterior é o patch para esta vulnerabilidade. Após a atualização, verifique se não há sinais de exploração anterior e troque as credenciais se você encontrar evidências de exfiltração de dados.

Q: Não consigo atualizar imediatamente — qual é a melhor solução temporária?
A: Aplique uma regra de WAF bloqueando a ação de exportação e/ou implemente o snippet do mu‑plugin acima para negar solicitações não administrativas ao endpoint actionExportAll.

Proteja seu site agora — comece com o WP‑Firewall Free

Interessado em proteção imediata sem custo inicial? O plano Básico (Gratuito) do WP‑Firewall oferece proteção essencial: um firewall gerenciado (WAF), largura de banda ilimitada para verificações de segurança, um scanner de malware integrado e capacidades de mitigação direcionadas para os riscos do OWASP Top 10. Isso significa que enquanto você atualiza plugins e realiza remediações, nosso WAF pode ajudar a bloquear padrões de exploração conhecidos e reduzir sua exposição. Inscreva-se no plano gratuito agora e obtenha uma camada de proteção automatizada: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se você precisar de mais automação — remoção automática de malware, lista negra/branca de IP avançada, relatórios de segurança mensais, patching virtual automático e complementos premium — nossos planos pagos estão disponíveis para equipes e agências.)

Lista de verificação final — o que fazer agora (resumo acionável)

  1. Atualize imediatamente o Smart Slider 3 para 3.5.1.34 (ou a versão mais recente disponível).
  2. Se você não puder atualizar agora:
    • Desative o plugin ou implemente o mu‑plugin para bloquear a ação de exportação para não administradores.
    • Aplique regras WAF/ModSecurity/nginx para bloquear solicitações contendo action=actionExportAll ou padrões de travessia de caminho.
  3. Verifique os logs para chamadas “actionExportAll” e para grandes downloads de admin‑ajax — investigue quaisquer correspondências.
  4. Verifique as permissões de arquivo e remova backups públicos do webroot.
  5. Gire as credenciais e revogue tokens de API se wp-config.php ou arquivos de backup foram baixáveis.
  6. Escaneie em busca de webshells e sinais de comprometimento; restaure a partir de um backup limpo, se necessário.
  7. Reforce os registros, imponha senhas fortes e considere MFA para usuários administrativos.
  8. Inscreva-se em um WAF gerenciado ou serviço de monitoramento de segurança para reduzir a janela de ataque em futuras vulnerabilidades.

Se você precisar de assistência para aplicar essas mitig ações, precisar de ajuda com triagem forense, ou quiser que implantemos patches virtuais em sua frota enquanto você atualiza, os engenheiros de segurança do WP‑Firewall estão disponíveis para ajudar. Proteja seu site rapidamente com nosso starter de proteção gratuito e faça upgrade quando estiver pronto: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Fique seguro,
Equipe de Segurança do Firewall WP

Referências e recursos (para administradores)

  • Smart Slider 3: atualize para 3.5.1.34 (patch do fornecedor) — aplique imediatamente.
  • CVE-2026-3098 — download de arquivo arbitrário via actionExportAll.

(Nota: Este post é um aviso técnico independente de fornecedor e destina-se a ajudar os proprietários de sites WordPress a priorizar e implementar mitig ações rapidamente. Se você depende de hospedagem gerenciada, coordene com seu host para aplicar as correções e escanear em busca de comprometimento.)

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™