Vulnerabilidade de XSS no Plugin Banner com Miniaturas//Publicado em 2026-02-28//CVE-2026-28108

EQUIPE DE SEGURANÇA WP-FIREWALL

LambertGroup Plugin Vulnerability Banner

Nome do plugin LambertGroup – AllInOne – Banner com Miniaturas
Tipo de vulnerabilidade XSS
Número CVE CVE-2026-28108
Urgência Médio
Data de publicação do CVE 2026-02-28
URL de origem CVE-2026-28108

Aviso de Segurança Urgente: XSS Refletido em ‘LambertGroup – AllInOne – Banner com Miniaturas’ (<= 3.8) — O que os Proprietários de Sites Devem Fazer Agora

Autor: Equipe de Segurança do Firewall WP

Data: 2026-02-26

Etiquetas: WordPress, Vulnerabilidade, XSS, WAF, WP-Firewall

Resumo: Uma vulnerabilidade de Cross‑Site Scripting (XSS) refletida (CVE‑2026‑28108) afetando as versões do plugin LambertGroup – AllInOne – Banner com Miniaturas <= 3.8 foi divulgada. A vulnerabilidade é classificada como Média (CVSS 7.1). É explorável por atacantes não autenticados através de links manipulados que requerem que um alvo interaja (clique/visite). Até que um patch oficial do plugin esteja disponível, o WP‑Firewall recomenda fortemente medidas de mitigação imediatas — incluindo patching virtual temporário, restrição ou remoção do plugin, aplicação de Política de Segurança de Conteúdo (CSP) e monitoramento de sinais de comprometimento.

Por que isso é importante (TL;DR para proprietários de sites ocupados)

O XSS refletido permite que um atacante crie um link ou página que, quando visitada por um usuário do site (ou às vezes por um administrador do site), faz com que o site reflita um script controlado pelo atacante de volta para o navegador da vítima. Esse script pode fazer coisas prejudiciais: executar ações como a vítima, roubar cookies ou tokens de autenticação, injetar conteúdo malicioso, sequestrar sessões ou carregar mais malware. Neste caso:

  • Plugin afetado: LambertGroup – AllInOne – Banner com Miniaturas
  • Versões vulneráveis: <= 3.8
  • CVE: CVE‑2026‑28108
  • CVSS: 7.1 (Médio)
  • Privilégio necessário: Não autenticado (o atacante não precisa estar logado)
  • A exploração requer interação do usuário (uma vítima deve clicar em um link manipulado ou visitar uma página maliciosa)

Se seu site utiliza este plugin e você atende visitantes (especialmente usuários administrativos), você precisa agir agora.

O que é XSS refletido e por que é perigoso para sites WordPress

O XSS refletido ocorre quando dados de uma solicitação HTTP (string de consulta da URL, dados POST, cabeçalhos) são incluídos no HTML gerado pelo servidor sem a devida validação ou escape. O atacante cria uma URL contendo JavaScript malicioso. Quando um usuário clica nessa URL e o servidor responde com uma página que ecoa o conteúdo injetado diretamente no HTML/JS, o navegador da vítima executa o código do atacante.

Consequências em sites WordPress:

  • Sequestro de sessão (se os cookies de autenticação não forem SameSite/HttpOnly e acessíveis)
  • Escalação de privilégios via abuso estilo CSRF quando o script controlado pelo atacante aciona ações administrativas com as credenciais da vítima
  • Desfiguração, inserção de spam, redirecionamentos maliciosos
  • Distribuição de malware adicional ou scripts de criptomoeda para visitantes do site
  • Danos à reputação, penalidades de SEO e inclusão em listas negras por mecanismos de busca.

Porque a vulnerabilidade é explorável a partir de um vetor não autenticado e afeta um ecossistema de CMS amplamente utilizado, merece cautela mesmo que os requisitos imediatos incluam interação do usuário.

Quem está em maior risco

  • Sites que executam LambertGroup – AllInOne – Banner com Thumbnails <= 3.8
  • Sites que permitem navegação aberta de páginas não logadas que podem refletir parâmetros de consulta na saída HTML
  • Sites com múltiplos usuários administrativos que podem clicar em links recebidos por e-mail ou canais sociais
  • Sites com cabeçalhos de segurança HTTP fracos (sem CSP, falta de X‑Content‑Type‑Options ou falta de flags de cookie HttpOnly/SameSite)

Se você ou seus usuários podem receber links que poderiam ser clicados enquanto logados — agora é a hora de mitigar.

Confirme se seu site está afetado

  1. Verifique os plugins instalados
    • Visite seu admin do WordPress: Painel → Plugins
    • Procure por “LambertGroup – AllInOne – Banner com Thumbnails”
    • Se presente, anote a versão do plugin. Se for <= 3.8, trate seu site como vulnerável.
  2. Use WP‑Firewall (ou outro scanner de segurança) para executar uma varredura de plugin e vulnerabilidade
    • Nosso scanner sinaliza versões de plugins vulneráveis conhecidas e mostrará o CVE e detalhes quando detectado.
  3. Procure por logs de requisições suspeitas
    • Procure por requisições de entrada contendo tags de script codificadas, atributos de manipulador de eventos suspeitos ou strings de consulta longas que parecem ser tentativas de injetar HTML/JS.
    • Quaisquer logs mostrando requisições a páginas que incluem uma string de consulta e uma resposta que contém o mesmo conteúdo podem indicar que o plugin ecoa a entrada.
  4. Escaneie o conteúdo do site em busca de JavaScript injetado
    • Pesquise posts, opções e arquivos de tema no banco de dados por 4. tags ou código ofuscado incomum.
    • Verifique o código-fonte de páginas públicas em busca de scripts ou tags inline inesperados.

Se algum dos verificações acima retornar indicadores positivos, trate a situação como alta prioridade.

Mitigação imediata (o que fazer nos próximos 60–120 minutos)

Se você descobrir que o plugin está instalado e vulnerável, tome essas mitig ações imediatas. Esses passos equilibram velocidade com segurança e evitam expor demais o site enquanto você planeja uma correção a longo prazo.

  1. Desative o plugin
    • A ação de curto prazo mais segura: vá para o admin do WordPress → Plugins e desative o plugin.
    • Se o plugin for necessário para a funcionalidade do site, considere desinstalá-lo temporariamente ou substituí-lo por uma alternativa segura.
  2. Se você não puder desativar (risco de quebra do site), restrinja o acesso
    • Limite o acesso às páginas que usam o plugin por meio de autenticação ou listas de permissão de IP no nível do servidor web.
    • Defina temporariamente proteção por senha em nível de diretório/URL para páginas que geram saída do plugin.
  3. Aplique correção virtual via WP‑Firewall
    • Ative nossa regra de mitigação pré-configurada para esta vulnerabilidade (publicamos um patch virtual que bloqueia tentativas típicas de exploração).
    • A correção virtual bloqueará e registrará tentativas de ataque na borda sem alterar o código do plugin.
  4. Reforce os cabeçalhos HTTP
    • Adicione ou fortaleça uma Política de Segurança de Conteúdo (CSP) que proíba scripts inline e restrinja fontes de scripts. Exemplo de política mínima:
      Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.example.com; object-src 'none'; frame-ancestors 'none';
    • Certifique-se de que os cookies usem Secure, HttpOnly e SameSite=lax/strict sempre que possível.
  5. Monitorar e registrar
    • Aumente o registro para solicitações suspeitas e capture o URI completo da solicitação e o agente do usuário para investigações.
    • Monitore a atividade do usuário administrador e as tentativas de login.
  6. Notifique sua equipe e usuários
    • Informe os administradores e editores para não clicarem em links suspeitos e evitarem abrir páginas não confiáveis enquanto estiverem logados.

Esses passos rapidamente reduzem o risco enquanto você se prepara para uma remediação completa.

Remediação recomendada e correções a longo prazo

  1. Atualize o plugin quando um patch do fornecedor for lançado
    • Se o autor do plugin lançar uma versão corrigida >= 3.9 (ou qual for a versão do patch), atualize imediatamente. Confirme que o changelog menciona uma correção de XSS.
  2. Se ainda não houver patch oficial: Substitua ou remova o plugin
    • Se o plugin não for crucial, remova-o até que um patch esteja disponível.
    • Se você precisar de funcionalidade semelhante, implante um plugin alternativo confiável e ativamente mantido que siga as melhores práticas de segurança do WordPress.
  3. Corrija o código do plugin (para desenvolvedores / mantenedores do site)
    • Certifique-se de que todos os dados que podem ser retornados ao navegador estejam devidamente escapados no momento da saída:
      • Usar esc_html(), esc_attr(), esc_url(), e wp_kses() para permitir HTML seguro, se necessário.
    • Valide e saneie a entrada com sanitizar_campo_de_texto(), intval(), wp_filter_nohtml_kses(), etc.
    • Prefira a validação de lista branca do lado do servidor para entradas esperadas (por exemplo, números ou slugs).
    • Evite ecoar bruto $_GET ou $_SOLICITAÇÃO valores em contextos HTML ou JavaScript.
    • Use nonces para ações que mudam o estado e verifique no lado do servidor.
  4. Adicione validação explícita de entrada em endpoints
    • Cada endpoint ou shortcode que aceita entrada do usuário deve validar tipos: inteiros, IDs de postagens, slugs, enumerações.
    • Rejeite ou normalize valores inesperados em vez de refletí-los literalmente.
  5. Use CSP e cabeçalhos de segurança como uma defesa de segunda linha
    • Embora CSP não seja um substituto para a codificação de saída adequada, ele aumenta significativamente a dificuldade do ataque ao bloquear scripts inline e restringir hosts de script permitidos.
  6. Revise o modelo de privilégio do usuário
    • Reduza o número de usuários administradores.
    • Use o princípio do menor privilégio — atribua aos usuários apenas as capacidades de que precisam.
  7. Mantenha todo o resto atualizado
    • Atualizações do núcleo do WordPress, temas, PHP e plataforma de hospedagem reduzem a superfície de ataque geral.

Como saber se seu site foi explorado

Sinais de que um XSS já foi utilizado:

  • JavaScript inesperado na saída da página, especialmente se não fizer parte do seu tema ou plugins.
  • Visitantes relatam redirecionamentos para domínios desconhecidos ou exibição de anúncios indesejados.
  • Novos usuários administradores criados sem autorização.
  • Postagens/comentários incomuns ou conteúdo de spam aparecendo em páginas ou postagens.
  • Avisos do navegador do Google Safe Browsing ou relatórios diretos de que o site está sinalizado.
  • Conexões de rede de saída incomuns originadas do seu servidor (logs de varredura, logs de firewall).

Se você suspeitar de exploração:

  • Coloque o site offline (modo de manutenção) enquanto você investiga.
  • Restaure a partir de um backup limpo conhecido (antes da atividade suspeita mais antiga).
  • Execute uma varredura completa de malware e compare os hashes dos arquivos principais com os arquivos de lançamento limpos do WordPress.
  • Altere as credenciais (senhas de administrador, chaves API/FTP) e gire os segredos.
  • Revise os logs para determinar a linha do tempo do ataque e o escopo.

Lista de verificação prática de detecção e contenção (passo a passo)

  1. Inventário e confirmação
    • Confirme se o plugin existe e é <= 3.8.
    • Faça uma captura do site (arquivos e DB) para evidências forenses.
  2. Isolar
    • Se puder, coloque temporariamente o site offline ou restrinja o acesso apenas a administradores.
    • Desative o plugin vulnerável imediatamente.
  3. Digitalizar
    • Execute uma varredura completa de malware com um scanner confiável.
    • Pesquise tabelas do DB (wp_posts, opções_wp, wp_postmeta) por suspeitas <script tags ou JavaScript ofuscado.
    • Use grep ou varredura baseada em host para encontrar scripts injetados em arquivos.
  4. Remediar
    • Remova o conteúdo injetado encontrado no banco de dados ou arquivos.
    • Se a infecção for ampla ou desconhecida, restaure a partir de um backup limpo.
  5. Reforçar
    • Aplique a regra de patch virtual do WP‑Firewall (se você usar o WP‑Firewall) para bloquear tentativas de exploração.
    • Adicione CSP e aperte os cabeçalhos de segurança.
    • Imponha senhas fortes e autenticação de dois fatores para administradores.
  6. Monitore
    • Continue registrando e monitorando tentativas repetidas e sinais de comprometimento.

Como o WP‑Firewall protege você contra XSS refletido como CVE‑2026‑28108

Como uma equipe de firewall e segurança do WordPress, abordamos vulnerabilidades em três camadas:

  1. Prevenção (antes que a solicitação chegue ao código do aplicativo)
    • Nossas regras de borda detectam e bloqueiam solicitações que contêm padrões comuns de XSS em strings de consulta e dados POST.
    • Inspecionamos por cargas úteis codificadas, manipuladores de eventos suspeitos e técnicas de exploração conhecidas usadas para refletir scripts de volta ao navegador.
    • Regras de patch virtual são implantadas para proteger os clientes assim que uma nova vulnerabilidade é confirmada—bloqueando tentativas de ataque sem exigir atualizações de plugin.
  2. Detecção (no aplicativo e em pipelines de monitoramento)
    • A varredura contínua do site procura mudanças na saída da página e novo JavaScript inline.
    • O monitoramento de atividades sinaliza atividades administrativas incomuns, picos de tráfego direcionados a endpoints específicos ou cargas úteis GET/POST suspeitas repetidas.
  3. Resposta (alertas acionáveis e remediação)
    • Se um ataque for detectado, o WP‑Firewall pode colocar em quarentena ou bloquear o IP de origem, alertar os administradores do site e aplicar regras personalizadas para minimizar o impacto.
    • Fornecemos orientações de remediação e, para planos pagos, assistência com limpeza e recuperação.

Exemplos do que implantamos (conceitual; nossas regras de produção são mais robustas e ajustadas para evitar falsos positivos):

  • Bloquear solicitações contendo tags de script não escapadas ou atributos de manipuladores de eventos em strings de consulta.
  • Normalize e descarte cargas úteis onde os parâmetros contêm construções JavaScript codificadas.
  • Limite a taxa e desafie padrões suspeitos para prevenir exploração em massa.

Observação: Não publicamos o conteúdo exato da assinatura publicamente para evitar informações que poderiam ser usadas por atacantes. Se você é um usuário registrado do WP‑Firewall, nossa regra de mitigação para esta vulnerabilidade específica do plugin já está disponível no conjunto de regras e aplicada automaticamente a todas as contas ativas em sites protegidos.

Conceitos de regras WAF seguras que você pode aplicar no nível do servidor web

Abaixo estão exemplos conceituais de defesas que você pode implementar na sua borda (servidor web ou WAF) para reduzir riscos. Estes são simplificados e destinados a administradores ou provedores que entendem seu ambiente — ajuste-os para evitar bloquear tráfego legítimo.

  • Bloquear injeção de script óbvia na string de consulta (pseudo-regra)
    • Condição: Se QUERY_STRING contiver padrões como “<script” (sem diferenciação entre maiúsculas e minúsculas) OU codificações comuns de “<script”
    • Ação: Retornar um 403 e registrar o evento
  • Proibir atributos de manipulador de eventos suspeitos em strings de consulta
    • Condição: Se QUERY_STRING contiver “onload=” OU “onclick=” OU “onerror=” (em formas codificadas)
    • Ação: Desafiar com CAPTCHA ou bloquear
  • Prevenir cargas úteis refletidas em respostas através da inspeção de respostas (avançado)
    • Condição: Se a entrada da string de consulta for ecoada verbatim na saída E a entrada ecoada contiver tokens JS suspeitos
    • Ação: Bloquear solicitação e notificar o administrador
  • Limitar a taxa de solicitações que incluem caracteres suspeitos ou strings de consulta muito longas
    • Condição: Comprimento da URI da solicitação > X e contém caracteres como “”
    • Ação: Limitar ou bloquear

Se você precisar de assistência na implementação de regras para NGINX, Apache ou WAFs em nuvem, nossa equipe de serviços profissionais pode ajudar a garantir que as regras sejam seguras e evitem interromper recursos legítimos.

Orientação para desenvolvedores: como codificar defensivamente para prevenir XSS

Se você desenvolve plugins para WordPress ou trabalha com autores de plugins de terceiros, siga esses padrões de codificação segura:

  1. Escape na saída, não na entrada
    • Sanitizar dados recebidos, mas aplicar funções de escape ao inserir no HTML:
      • Corpo/texto HTML: esc_html()
      • Atributos HTML: esc_attr()
      • URLs: esc_url()
      • HTML confiável limitado: wp_kses() com uma lista de permissões rigorosa
  2. Preferir validação rigorosa
    • Se um parâmetro deve ser um inteiro, converta para (int) ou use absint().
    • Para slugs ou valores enumerados, verifique contra uma lista de permissões.
  3. Nunca ecoe texto fornecido pelo usuário em contexto JavaScript
    • Se você precisar passar valores do lado do servidor para o JS, use wp_localize_script() ou json_encode+esc_js().
  4. Use nonces para ações baseadas em formulários
    • Para qualquer ação que mude o estado, verifique o nonce com verificar_referenciador_admin() ou verificar_ajax_referer().
  5. Evite refletir a entrada do usuário nas páginas, a menos que validada e escapada
    • Verifique novamente todos os shortcodes, manipuladores AJAX, templates baseados em consultas e saída de widgets.
  6. Revisões de código e testes de segurança
    • Inclua análise estática e dinâmica em seu pipeline CI/CD.
    • Realize revisões de código manuais e testes de penetração focados na sanitização de entrada/saída.

Orientação de comunicação para proprietários de sites (como informar seus clientes)

  • Seja transparente, mas evite pânico: confirme que você está aplicando medidas de segurança e que os dados dos clientes estão seguros (se for verdade).
  • Ofereça prazos claros: quando você restaurará a funcionalidade total e como está melhorando as proteções.
  • Fornecer caminho de contato para clientes: um e-mail de segurança ou canal de suporte.
  • Se a exposição de dados for suspeita, siga as leis de divulgação de incidentes aplicáveis e notifique os usuários afetados.

Cronograma e atribuição (informações divulgadas publicamente)

  • A vulnerabilidade foi originalmente relatada a pesquisadores registrados (relatada em 26 de agosto de 2025).
  • A divulgação pública com aviso (incluindo CVE‑2026‑28108 e CVSS 7.1) ocorreu em 26 de fevereiro de 2026.
  • No momento da redação, nenhum patch oficial estava disponível do autor do plugin para versões <= 3.8. (Se um patch foi lançado desde então, você deve atualizar imediatamente.)

Dicas adicionais de endurecimento além deste incidente

  • Implante autenticação de dois fatores para todas as contas de nível administrativo.
  • Limite o acesso de administrador por IP onde for prático.
  • Exija backups regulares armazenados fora do site e teste os procedimentos de restauração.
  • Use o princípio do menor privilégio: limite os direitos de instalação de plugins/temas a contas específicas.
  • Mantenha PHP, pacotes do servidor e configurações de TLS atualizados.
  • Implemente varredura automatizada (verificações de integridade de arquivos, varredura de malware) e mantenha os alertas monitorados.

Se seu site já estiver comprometido: lista de verificação de remediação

  1. Coloque o site em modo de manutenção para parar danos aos visitantes.
  2. Faça um snapshot de arquivo + DB para forense.
  3. Substitua arquivos comprometidos por uma fonte limpa ou restaure um backup limpo.
  4. Substitua todas as credenciais: usuários do WordPress com funções administrativas, painel de controle de hospedagem, banco de dados e quaisquer chaves de API.
  5. Reescaneie e confirme que todos os hacks foram removidos; se houver dúvidas, envolva um serviço profissional de limpeza.
  6. Após a limpeza, reative as proteções e monitore para reinfecção.

Se você estiver em um plano de suporte pago com WP‑Firewall, nossos especialistas em remediação podem ajudar com a limpeza e recuperação e ajudar a endurecer o site para prevenir recorrências.

Como isso reflete sobre os autores de plugins e o ecossistema

Este incidente é um lembrete de alguns pontos sistêmicos:

  • Os desenvolvedores de plugins devem tratar a entrada controlada pelo usuário como potencialmente hostil e validar/escapar de acordo.
  • Os proprietários de sites devem preferir plugins ativamente mantidos com um histórico de segurança claro.
  • Um WAF bem gerenciado e a capacidade de patch virtual são inestimáveis para proteger sites ao vivo até que os patches do fornecedor sejam aplicados.

Como um fornecedor de segurança e praticante do WordPress, continuaremos a trabalhar com desenvolvedores e hosts para acelerar a divulgação responsável e proteger sites em todos os lugares.

Caça a ameaças: consultas e logs de amostra para verificar (faça isso com segurança)

  • Pesquise logs do servidor web por caracteres codificados suspeitos:
    • Procure por solicitações contendo %3Cscript ou script%3E na string de consulta.
  • Pesquise no banco de dados e no conteúdo por tags suspeitas:
    • Consulta wp_posts: SELECIONE ID, post_title DO wp_posts ONDE post_content LIKE '%<script%' LIMIT 100;
  • Inspecione a atividade recente do administrador em busca de logins desconhecidos:
    • Verifique wp_users por contas recentemente criadas ou mudanças de funções.

Observação: Sempre realize investigações em uma cópia ou snapshot para evitar modificar acidentalmente evidências forenses.

Por que você deve considerar a proteção WP‑Firewall agora

Montamos patch virtual e monitoramento especificamente para proteger os clientes dessa classe de vulnerabilidades XSS refletidas. Nossas proteções são projetadas para serem não disruptivas, evitando falsos positivos enquanto previnem padrões de exploração conhecidos.

  • Firewall gerenciado com regras de patch virtual oportunas reduz a janela entre a divulgação pública e o patch do fornecedor.
  • A varredura contínua alerta proativamente sobre conteúdo suspeito e código injetado.
  • Para clientes em níveis mais altos, fornecemos assistência automática de limpeza, relatórios mensais e consultoria de segurança.

Proteja Seu Site Hoje — Comece com o Plano Gratuito do WP‑Firewall

Entendemos que muitos proprietários de sites desejam proteção imediata sem custo. Nosso plano Básico (Gratuito) oferece defesas essenciais que você pode ativar em minutos:

  • Proteção essencial: firewall gerenciado e WAF
  • Largura de banda ilimitada através de nossa borda de proteção
  • Scanner de malware para detectar ameaças conhecidas e alterações suspeitas
  • Regras de mitigação para os riscos do OWASP Top 10, incluindo classes de XSS
  • Um painel de controle simples para visualizar e aplicar proteções

Inscreva-se no plano gratuito e ative as regras de mitigação de vulnerabilidades imediatamente: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nota: para equipes que desejam remediação automatizada, listas de permissão/bloqueio de IP e assistência dedicada, nossos níveis pagos Standard e Pro oferecem recursos avançados e ajuda prática.)

Notas finais da equipe de segurança WP‑Firewall

Vulnerabilidades de XSS refletido permanecem uma das vulnerabilidades web mais comuns e impactantes porque são flexíveis e fáceis para os atacantes armarem via engenharia social (URLs elaboradas, phishing). No mundo do WordPress, a saída de plugins e componentes de frontend são fontes comuns de risco — é por isso que uma defesa em camadas (codificação segura, varredura, WAF/patch virtual e monitoramento) é essencial.

Se você executar o plugin vulnerável e não puder atualizar imediatamente, siga a seção de Mitigação Imediata acima. Se você é um desenvolvedor, revise seus padrões de escape e validação de saída. Se você é um proprietário de site e precisa de ajuda, nossa equipe está disponível para auxiliar na implementação de patches virtuais, varredura e remediação.

Mantenha-se seguro e proativo — e se você gostaria que nossa equipe revisasse sua instância ou aplicasse um patch virtual para o CVE‑2026‑28108, inscreva-se no plano gratuito (link acima) e abra um ticket de suporte — nós cuidaremos disso.

— Equipe de Segurança do Firewall WP

Referências e recursos

  • CVE‑2026‑28108 (aviso público)
  • Diretrizes e defesas de XSS do OWASP
  • Manual do desenvolvedor WordPress: Funções de validação e escape de dados

(Omitimos deliberadamente detalhes diretos de exploração para evitar compartilhar artefatos de ataque acionáveis. Se você é um pesquisador de segurança ou autor de plugin e precisa de detalhes técnicos de reprodução para correção, entre em contato com nossa equipe de segurança através do portal de suporte.)

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™