परिचय

19 फरवरी 2026 को एक शोधकर्ता ने CVE-2026-1219 का खुलासा किया: लोकप्रिय “MP3 ऑडियो प्लेयर फॉर म्यूजिक, रेडियो & पॉडकास्ट द्वारा सोनार” वर्डप्रेस प्लगइन (संस्करण 4.0 से 5.10) में एक अनधिकृत IDOR। हालांकि इसे कम गंभीरता के रूप में रेट किया गया है, यह एक क्लासिक एक्सेस कंट्रोल विफलता है — अनधिकृत अनुरोध आंतरिक पहचानकर्ताओं को संदर्भित कर सकते हैं और जानकारी प्राप्त कर सकते हैं जिसे प्लगइन को प्रतिबंधित करना चाहिए।.

एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से, यह सलाह साइट मालिकों, डेवलपर्स और होस्टिंग टीमों के लिए जोखिम का आकलन करने, दुरुपयोग का पता लगाने और अल्पकालिक और दीर्घकालिक निवारण लागू करने के लिए एक संक्षिप्त, व्यावहारिक मार्ग प्रदान करती है। नीचे दी गई मार्गदर्शिका विक्रेता-न्यूट्रल है और प्रशासकों और सुरक्षा टीमों द्वारा तात्कालिक कार्यान्वयन के लिए अभिप्रेत है।.

यह भेद्यता का वर्ग क्यों महत्वपूर्ण है (IDOR की व्याख्या)

IDOR (असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस) तब होता है जब एक एप्लिकेशन आंतरिक ऑब्जेक्ट पहचानकर्ताओं (IDs, फ़ाइल नाम, टोकन मान, संख्यात्मक अनुक्रम, आदि) को उजागर करता है और संदर्भित ऑब्जेक्ट तक पहुँचने के लिए अनुरोधकर्ता के प्राधिकरण की पुष्टि नहीं करता है।.

परिणाम

• ऐसी जानकारी तक पहुँच जो निजी होनी चाहिए (आंतरिक मेटाडेटा, फ़ाइल स्थान, निजी ऑडियो URLs, उपयोगकर्ता-विशिष्ट डेटा)।.
• संसाधनों को खोजने और पुनः प्राप्त करने के लिए अनुक्रमिक IDs की गणना।.
• अन्य कमजोरियों (साइन किए गए URLs, गैर-समाप्त होने वाले संपत्ति लिंक) के साथ उजागर जानकारी को मिलाकर सुरक्षित फ़ाइलों को डाउनलोड करना।.
• ऐसी पहचान जो अधिक लक्षित हमलों की जानकारी देती है।.

सोनार प्लगइन समस्या क्यों चिंताजनक है

हालांकि CVSS इसे कम (5.3) के रूप में रेट करता है क्योंकि यह मुख्य रूप से जानकारी का खुलासा करता है, वास्तविक दुनिया में प्रभाव इस पर निर्भर करता है कि प्लगइन क्या लौटाता है। लीक हुए निजी ऑडियो संपत्तियाँ, विशेष पॉडकास्ट फ़ीड, या पहुँच टोकन सामग्री मालिकों को प्रतिष्ठा या व्यावसायिक नुकसान पहुँचा सकते हैं।.

कार्यकारी चेकलिस्ट (प्राथमिकता कार्य)

1. सूची: Sonaar MP3 ऑडियो प्लेयर (संस्करण 4.0–5.10) का उपयोग करने वाली साइटों की पहचान करें।.
2. अपडेट: जैसे ही संभव हो, प्लगइन को 5.11 या बाद के संस्करण में अपडेट करें।.
3. एज मिटिगेशन: यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो एक्सप्लॉइट पैटर्न को ब्लॉक करने के लिए CDN/होस्ट स्तर पर आपातकालीन WAF/एज नियम या वर्चुअल पैच लागू करें।.
4. ऑडिट: अनधिकृत डाउनलोड या पहुंच के सबूत के लिए स्कैन करें (सर्वर लॉग, प्लगइन एंडपॉइंट्स के लिए अनुरोध, अनुक्रमिक आईडी पहुंच)।.
5. मजबूत करें: साइन किए गए/समाप्त होने वाले URLs का उपयोग करें या प्रमाणित प्रॉक्सी/नियंत्रकों के माध्यम से निजी मीडिया प्रदान करें।.
6. निगरानी करें: प्लगइन एंडपॉइंट्स और असामान्य डाउनलोड वॉल्यूम के लिए अलर्ट जोड़ें।.

एक्सपोजर का आकलन करना — क्या देखना है

1. उपस्थिति और संस्करण

वर्डप्रेस प्रशासन में या प्रबंधित सूची के माध्यम से स्थापित प्लगइन संस्करण की जांच करें। कई साइटों के लिए, प्लगइन सूचियों को निर्यात करना और प्लगइन स्लग को ग्रेप करना प्रभावी है।.

2. सार्वजनिक एंडपॉइंट्स और संपत्तियां

प्लगइन द्वारा उपयोग किए जाने वाले AJAX/REST एंडपॉइंट्स और सीधे फ़ाइल पहुंच की पहचान करें। यह निर्धारित करें कि ऑडियो संपत्तियां निम्नलिखित में से किससे प्रदान की जाती हैं:

• सार्वजनिक wp-content/uploads/ (सामान्य), या
• निजी/समाप्त होने वाले/साइन किए गए URL तंत्र।.

3. समीक्षा करने के लिए लॉग

• वेब सर्वर एक्सेस लॉग — प्लगइन एंडपॉइंट्स और अनुक्रमिक आईडी पहुंच के लिए अनधिकृत अनुरोधों की तलाश करें।.
• WAF/CDN लॉग — प्लगइन एंडपॉइंट्स के चारों ओर अवरुद्ध या संदिग्ध पैटर्न की तलाश करें।.
• WordPress डिबग लॉग (यदि सक्षम हो)।.

4. समझौते के संकेत

• ऑडियो फ़ाइलों या प्लगइन एंडपॉइंट्स पर ट्रैफ़िक स्पाइक्स।.
• समान IPs या स्कैनिंग उपयोगकर्ता-एजेंट्स से संसाधन एंडपॉइंट्स पर 200 प्रतिक्रियाओं की बड़ी संख्या।.
• प्रीमियम/निजी मीडिया के अप्रत्याशित डाउनलोड।.

तात्कालिक सुधार - चरण-दर-चरण

1. प्लगइन को अपडेट करें: सबसे सुरक्षित समाधान 5.11 या बाद के संस्करण में अपग्रेड करना है। उत्पादन से पहले स्टेजिंग पर परीक्षण करें जब संभव हो।.
2. अस्थायी एज शमन: यदि तत्काल अपडेट असंभव है, तो शोषण पैटर्न को ब्लॉक करने के लिए एज या CDN पर WAF/वर्चुअल पैचिंग लागू करें (नीचे उदाहरण दिए गए हैं)।.
3. लीक का ऑडिट और सुधार करें: यदि डेटा का खुलासा किया गया है, तो उजागर संपत्तियों को घुमाएं (लिंक बदलें, टोकन फिर से जारी करें) और घटना प्रतिक्रिया कदमों का पालन करें।.
4. दीर्घकालिक: सुरक्षित डिज़ाइन और प्लगइन स्वच्छता अपनाएं - प्राधिकरण जांच लागू करें और अनधिकृत प्रतिक्रियाओं में आंतरिक पहचानकर्ताओं को उजागर करने से बचें।.

WAF / वर्चुअल पैचिंग मार्गदर्शन (व्यावहारिक नियम)

अनधिकृत IDOR के लिए एज फ़िल्टरिंग सबसे तेज़ अंतरिम उपाय है: शोषण पैटर्न से मेल खाने वाले अनुरोधों को ब्लॉक या चुनौती दें। नीचे सामान्य वैचारिक नियम हैं जिन्हें आप अपने वातावरण के अनुसार अनुकूलित कर सकते हैं। ब्लॉक करने से पहले “लॉग” मोड में परीक्षण करें।.

उदाहरण 1 - प्लगइन एंडपॉइंट्स पर अनधिकृत अनुरोधों को ब्लॉक करें

इरादा: उन अनुरोधों को रोकना जो प्रमाणीकरण के बिना संसाधन आईडी तक पहुंचने का प्रयास करते हैं।.

नियम तर्क (वैचारिक):

• यदि URI प्लगइन एंडपॉइंट से मेल खाता है (जैसे, /wp-admin/admin-ajax.php या /wp-json//… या /wp-content/plugins/mp3-music-player-by-sonaar/)
• और क्वेरी स्ट्रिंग में संसाधन पहचानकर्ता पैरामीटर (id, track_id, file_id) शामिल है
• और कोई वर्डप्रेस प्रमाणीकरण कुकी मौजूद नहीं है (कोई “wordpress_logged_in” कुकी या प्रासंगिक प्रमाणीकरण हेडर नहीं)
• तो ब्लॉक या चुनौती दें (403 या कैप्चा)।.

वैचारिक ModSecurity-शैली का उदाहरण:

SecRule REQUEST_URI "(?:/wp-admin/admin-ajax.php|/wp-json/.+sonaar|/wp-content/plugins/mp3-music-player-by-sonaar/)" "phase:1,chain,pass,nolog"

नोट्स:

• कई शोषण admin-ajax.php को एक क्रिया पैरामीटर के साथ लक्षित करते हैं; क्रिया मानों को मान्य करने के लिए नियमों का विस्तार करें।.
• /wp-json/ एंडपॉइंट्स के लिए REST पैटर्न मिलान का उपयोग करें।.

उदाहरण 2 - दर-सीमा गणना प्रयास

इरादा: अनुक्रमिक आईडी संख्या को रोकना।.

यदि एक ही आईपी से /wp-admin/admin-ajax.php?action=sonaar_get_resource के लिए 60 सेकंड में > 20 अनुरोध हैं

उदाहरण 3 — संदिग्ध रेफरर्स के साथ मीडिया तक सीधी पहुंच को ब्लॉक करें।

यदि अनुरोध URI /wp-content/uploads/sonaar/* से मेल खाता है और रेफरर आपके डोमेन से नहीं है और उपयोगकर्ता-एजेंट सामान्य स्कैनर सूची से मेल खाता है

उदाहरण 4 — संदिग्ध उपयोगकर्ता एजेंटों को चुनौती दें।

प्लगइन एंडपॉइंट्स के लिए एक सख्त नीति लागू करें: संदिग्ध ट्रैफ़िक के लिए प्रतिक्रियाएँ देने से पहले एक चुनौती (CAPTCHA) प्रस्तुत करें।.

डिज़ाइन सिद्धांत

• झूठे सकारात्मक की पुष्टि करने के लिए मॉनिटर/लॉग मोड में शुरू करें।.
• सहायक क्षति को कम करने के लिए URI और पैरामीटर पैटर्न को संकीर्ण करें।.
• प्रगति: मॉनिटर → चुनौती → ब्लॉक।.
• आवश्यकतानुसार वैध एकीकरण (मोबाइल ऐप, फीड उपभोक्ता) को व्हाइटलिस्ट करें।.

जब आप तुरंत अपडेट नहीं कर सकते हैं तो अल्पकालिक उपाय।

• यदि सामग्री वितरण महत्वपूर्ण नहीं है तो अस्थायी रूप से प्लगइन को निष्क्रिय करें।.
• जहां संभव हो, आईपी द्वारा प्लगइन प्रशासन एंडपॉइंट्स तक पहुंच को प्रतिबंधित करें।.
• प्लगइन के अपडेट होने तक समाप्ति के साथ साइन किए गए URLs के माध्यम से प्रीमियम ऑडियो प्रदान करें।.

पहचान हस्ताक्षर और लॉगिंग

इन व्यवहारों के लिए पहचान नियम डिज़ाइन करें:

• अनधिकृत अनुरोध जो निजी फ़ील्ड (आंतरिक फ़ाइल URLs, टोकन) शामिल करने वाले JSON पेलोड के साथ 200 लौटाते हैं।.
• बढ़ते संख्या आईडी (id=1, id=2, …) के साथ समान एंडपॉइंट के लिए बार-बार अनुरोध।.
• प्लगइन एंडपॉइंट्स के लिए अनुरोध जो नॉनसेस या ऑथ टोकन की कमी है।.
• मीडिया डाउनलोड पर अप्रत्याशित संदर्भदाता।.

लॉग फ़ील्ड कैप्चर करने के लिए:

• पूर्ण अनुरोध URI और क्वेरी स्ट्रिंग
• अनुरोध हेडर (यूज़र-एजेंट, संदर्भदाता, कुकीज़)
• प्रतिक्रिया स्थिति और आकार
• क्लाइंट IP और भू-स्थान
• टाइमस्टैम्प और प्रसंस्करण समय

एप्लिकेशन और सर्वर को मजबूत करना - दीर्घकालिक सुधार

1. न्यूनतम विशेषाधिकार का सिद्धांत

प्लगइन्स को current_user_can की पुष्टि करनी चाहिए और उन क्रियाओं के लिए नॉनस की पुष्टि करनी चाहिए जो सार्वजनिक सामग्री से परे कुछ भी उजागर करती हैं।.

2. मीडिया एक्सेस नियंत्रण

• पूर्वानुमानित सार्वजनिक पथों के तहत निजी ऑडियो फ़ाइलों को उजागर करने से बचें।.
• समाप्ति के साथ हस्ताक्षरित URLs का उपयोग करें या मीडिया को एक नियंत्रक के माध्यम से सेवा करें जो स्ट्रीमिंग से पहले प्राधिकरण की पुष्टि करता है।.
• संवेदनशील मीडिया को वेब रूट के बाहर स्टोर करें और जहां संभव हो, प्रमाणित एंडपॉइंट्स के माध्यम से स्ट्रीम करें।.

3. प्लगइन कोड सर्वोत्तम प्रथाएँ (डेवलपर्स के लिए)

• कभी भी अनधिकृत प्रतिक्रियाओं में आंतरिक फ़ाइल पथ, DB IDs, या टोकन वापस न करें।.
• यदि पहचानकर्ताओं को उजागर करना आवश्यक है, तो आंतरिक IDs को अनुमानित न किए जा सकने वाले टोकनों (GUIDs/लंबी यादृच्छिक स्ट्रिंग्स) से मानचित्रित करें।.
• क्षमता जांच (current_user_can) को लागू करें और संवेदनशील पढ़ाई या स्थिति परिवर्तनों के लिए नॉनस का उपयोग करें।.

4. फ़ाइल अनुमतियाँ और सर्वर कॉन्फ़िगरेशन

• निर्देशिका सूचीकरण को अक्षम करें।.
• .htaccess (Apache) या Nginx नियमों का उपयोग करें ताकि उन निर्देशिकाओं तक सीधे पहुंच को प्रतिबंधित किया जा सके जो सार्वजनिक उपयोग के लिए नहीं हैं।.
• सुनिश्चित करें कि अपलोड की गई फ़ाइलों के पास उचित अनुमतियाँ हैं।.

सॉफ़्टवेयर को अपडेट रखें

प्लगइन्स (विशेष रूप से वे जो मीडिया या उपयोगकर्ता-सुलभ सामग्री को संभालते हैं) को वर्तमान रखें। विश्वसनीय सुरक्षा फ़ीड और अपडेट चैनलों की सदस्यता लें।.

यदि आप लीक या समझौता का पता लगाते हैं तो घटना प्रतिक्रिया

1. शामिल करें: तुरंत प्लगइन को पैच/अपडेट करें; यदि आवश्यक हो तो इसे अक्षम करें।.
2. मूल्यांकन करें: यह निर्धारित करें कि किसने, किन IPs द्वारा, और किस अवधि में पहुंच बनाई। अन्य संदिग्ध गतिविधियों के साथ सहसंबंधित करें।.
3. समाप्त करें: समझौता किए गए संपत्तियों को प्रतिस्थापित/रद्द करें (टोकन को घुमाएँ, हस्ताक्षरित URLs को फिर से उत्पन्न करें), और दुर्भावनापूर्ण अपलोड को हटा दें।.
4. पुनर्प्राप्त करें: यदि गहरे समझौते का संदेह है तो प्रभावित सिस्टम को साफ बैकअप से पुनर्स्थापित करें।.
5. सीखें: पहचान और रोकथाम के नियमों को अपडेट करें और एक पोस्ट-घटना समीक्षा करें।.

सामान्य झूठे सकारात्मक और ट्यूनिंग मार्गदर्शन

झूठे सकारात्मक अक्सर वैध मोबाइल ऐप, पॉडकास्ट क्लाइंट, या कुकीज़ के बिना क्रॉलर से आते हैं। झूठे सकारात्मक को कम करने के लिए:

• ब्लॉक करने से पहले एंडपॉइंट्स और पैरामीटर नामों का निरीक्षण करें।.
• विश्वसनीय IPs या API उपभोक्ताओं को व्हाइटलिस्ट करें।.
• प्रारंभ में सीधे ब्लॉकों के मुकाबले दर-सीमा और चुनौती क्रियाओं को प्राथमिकता दें।.

क्यों एक एज WAF या वर्चुअल पैच IDOR स्थितियों में मदद करता है

IDORs कोड-स्तरीय प्राधिकरण मुद्दे हैं और इन्हें प्लगइन कोड में ठीक किया जाना चाहिए। हालाँकि, व्यावहारिक बाधाएँ (संगतता, स्टेजिंग, या संसाधन सीमाएँ) का मतलब है कि सभी साइट मालिक तुरंत पैच नहीं कर सकते। उन मामलों में, एक एज WAF या वर्चुअल पैच शोषण प्रयासों को ब्लॉक या कम कर सकता है जबकि आप एक उचित कोड सुधार लागू करते हैं।.

अनुशंसित स्तरित दृष्टिकोण (सुरक्षा टीम मार्गदर्शन)

1. त्वरित पहचान: सलाहों का रिवर्स-इंजीनियर करें और लक्षित अनुरोध पैटर्न की पहचान करें।.
2. एज मिटिगेशन: उच्च-विश्वास नियमों को निगरानी मोड में लागू करें, फिर कम झूठे सकारात्मकों की पुष्टि करने के बाद ब्लॉकिंग में बढ़ाएं।.
3. व्यवहारिक विश्लेषण: स्कैनर्स और सामूहिक गणना का पता लगाने के लिए सिस्टमों के बीच ट्रैफ़िक को सहसंबंधित करें।.
4. संचालन समर्थन: आपकी संगठन या होस्टिंग प्रदाता की क्षमताओं के भीतर आवश्यकतानुसार आपातकालीन अपडेट, स्कैनिंग और घटना त्रिage में सहायता करें।.

तकनीकी उदाहरण और नियम विचार (कंक्रीट)

उत्पादन से पहले इन टेम्पलेट्स को स्टेजिंग में अनुकूलित करें।.

1) गणना डिटेक्टर (छद्म-कोड)

प्रत्येक अनुरोध पर:

2) अनधिकृत पहुंच ब्लॉक (छद्म-कोड)

यदि request.uri में "/wp-json/sonaar" या request.uri में "/wp-content/plugins/mp3-music-player-by-sonaar/" है:

3) मीडिया डायरेक्ट-डाउनलोड विसंगति डिटेक्टर

यदि request.uri "/wp-content/uploads/.*(mp3|wav|m4a)$" से मेल खाता है:

अनुपालन और गोपनीयता चिंताएँ

यदि निजी मीडिया में व्यक्तिगत डेटा या विनियमित सामग्री है, तो किसी भी प्रकटीकरण को संभावित डेटा उल्लंघन के रूप में मानें। गोपनीयता प्रभाव आकलन करें, जांच के लिए लॉग बनाए रखें, और अधिसूचना दायित्वों (GDPR या स्थानीय आवश्यकताओं) के लिए कानूनी/अनुपालन टीमों के साथ समन्वय करें।.

एक-पृष्ठ कार्यशील चेकलिस्ट

• सभी साइटों की पहचान करें जो Sonaar प्लगइन चला रही हैं और संस्करणों की पुष्टि करें
• ASAP प्लगइन संस्करण 5.11 या बाद में अपग्रेड करें
• यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अनधिकृत संसाधन फ़ेच को ब्लॉक करने के लिए एज WAF/वर्चुअल पैचिंग लागू करें
• प्लगइन एंडपॉइंट्स तक संदिग्ध पहुंच के लिए सर्वर और WAF लॉग की जांच करें
• निजी होने चाहिए ऐसे मीडिया तक सीधे पहुंच को प्रतिबंधित करें (साइन किए गए यूआरएल, प्रमाणित एंडपॉइंट)
• प्लगइन/थीम कोड में न्यूनतम विशेषाधिकार (नॉन्स, current_user_can) को लागू करें
• निर्देशिका सूचीकरण को निष्क्रिय करें, अपलोड निर्देशिकाओं और फ़ाइल अनुमतियों को सुरक्षित करें
• उजागर किए गए टोकन/लिंक को घुमाएं और यदि प्रकटीकरण का पता चले तो पुनः जारी करें
• असामान्य डाउनलोड मात्रा या गणना पैटर्न के लिए निगरानी करें
• बैकअप रखें और पुनर्प्राप्ति प्रक्रियाओं का परीक्षण करें

शोषणीयता और हमलावर की प्रेरणा

अप्रमाणित पहुंच इस कमजोरियों को अवसरवादी हमलावरों और स्क्रैपर्स के लिए आकर्षक बनाती है जो आसान संपत्तियों की तलाश में हैं। जबकि प्रभाव केवल जानकारी का प्रकटीकरण है, भुगतान किए गए या विशेष ऑडियो सामग्री को लक्षित करने वाले हमलावर अभी भी सामग्री लीक करके प्रतिष्ठा या वित्तीय नुकसान पहुंचा सकते हैं।.

समन्वित शमन समयरेखा

प्रतिक्रिया के लिए सुझाई गई समयरेखा:

• दिन 0 (प्रकटीकरण): प्रशासकों को सूचित करें, प्लगइन सूची की समीक्षा करें, WAF हस्ताक्षर तैयार करें।.
• दिन 0–1 (त्वरित कार्रवाई): जहां संभव हो साइटों को पैच करें; जो तुरंत पैच नहीं कर सकते उनके लिए निगरानी मोड में WAF नियम सक्षम करें।.
• दिन 1–7 (ऑडिट और सुधार): लॉग की पूरी तरह से समीक्षा करें; यदि लीक का संदेह हो तो टोकन घुमाएं; भंडारण और वितरण को मजबूत करें।.
• चल रहा: निगरानी बनाए रखें, नियमों को समायोजित करें, और घटना प्रतिक्रिया और बैकअप पुनर्स्थापना का अभ्यास करें।.

हांगकांग के सुरक्षा विशेषज्ञ के अंतिम शब्द

CVE-2026-1219 यह दर्शाता है कि कैसे टूटी हुई पहुंच नियंत्रण (IDOR) डेटा को उजागर कर सकती है भले ही इसे “महत्वपूर्ण” के रूप में रेट न किया गया हो। पैच प्रबंधन और प्लगइन स्वच्छता प्राथमिक रक्षा हैं। व्यावहारिक रूप से, समय पर कोड सुधारों को किनारे के शमन (WAF/वर्चुअल पैच, दर सीमित करना, संपत्ति पहुंच नियंत्रण) के साथ मिलाकर उजागर होने को कम करें जबकि आप पैच करते हैं।.

यदि आपको नियम निर्माण, आपातकालीन किनारे के शमन, या घटना त्रिage में सहायता की आवश्यकता है, तो उपरोक्त वैकल्पिक नियमों को लागू करने और लॉग विश्लेषण और सुधार में मदद करने के लिए एक योग्य सुरक्षा सलाहकार या अपने होस्टिंग प्रदाता से संपर्क करें।.

परिशिष्ट A — नमूना पहचान नियम (वैकल्पिक)

1) अनुक्रमणिका डिटेक्टर (छद्म-कोड)

परिशिष्ट बी — घटना प्रतिक्रिया चेकलिस्ट (संक्षिप्त)

• कमजोर प्लगइन को अलग करें (अपडेट या अक्षम करें)
• फोरेंसिक विश्लेषण के लिए लॉग इकट्ठा करें और संरक्षित करें
• संभावित डेटा एक्सपोजर के दायरे की पहचान करें (फाइलें, डाउनलोड)
• क्रेडेंशियल्स को घुमाएं और किसी भी एक्सपोज़ किए गए टोकन को फिर से जारी करें
• समझौता किए गए संपत्तियों को संगरोध या प्रतिस्थापित करें
• यदि अखंडता मुद्दे पाए जाते हैं तो साफ बैकअप से पुनर्स्थापित करें
• हितधारकों को रिपोर्ट करें और यदि व्यक्तिगत डेटा उजागर होता है तो कानूनी दायित्वों का पालन करें