Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा सलाहकार प्लगइन विशेषाधिकार वृद्धि (CVE20237264)

वर्डप्रेस बिल्ड ऐप ऑनलाइन प्लगइन में विशेषाधिकार वृद्धि
0
शेयर
0
0
0
0





Urgent Security Advisory: Privilege Escalation / Account Takeover in Build App Online (<= 1.0.22)


प्लगइन का नाम ऐप ऑनलाइन बनाएं
कमजोरियों का प्रकार विशेषाधिकार वृद्धि
CVE संख्या CVE-2023-7264
तात्कालिकता उच्च
CVE प्रकाशन तिथि 2026-02-17
स्रोत URL CVE-2023-7264

तत्काल सुरक्षा सलाहकार: बिल्ड ऐप ऑनलाइन (वर्डप्रेस प्लगइन ≤ 1.0.22) में विशेषाधिकार वृद्धि / खाता अधिग्रहण

तारीख: 17 फरवरी, 2026   |   गंभीरता: उच्च (CVSS 8.1)   |   में ठीक किया गया: 1.0.23

यह सलाह एक हांगकांग स्थित सुरक्षा विशेषज्ञ द्वारा वर्डप्रेस साइट के मालिकों, प्रशासकों और डेवलपर्स के लिए तैयार की गई है। यह जोखिम, प्रभाव, पहचान और चरण-दर-चरण सुधारात्मक कार्रवाई को स्पष्ट, क्रियाशील शर्तों में समझाती है।.

कार्यकारी सारांश

बिल्ड ऐप ऑनलाइन प्लगइन (संस्करण 1.0.22 तक और शामिल) में एक महत्वपूर्ण प्रमाणीकरण/अधिकारिता भेद्यता अनधिकृत हमलावरों को प्लगइन के पासवर्ड-रीसेट-जैसे प्रवाह का दुरुपयोग करके खाता क्रेडेंशियल्स को बदलने या विशेषाधिकार बढ़ाने की अनुमति देती है। सफल शोषण से पूर्ण साइट का समझौता हो सकता है: डेटा चोरी, स्थायीता/बैकडोर, दुर्भावनापूर्ण कोड इंजेक्शन या जुड़े सेवाओं में आगे की पार्श्व गति।.

विक्रेता ने संस्करण 1.0.23 में एक पैच जारी किया है। यदि आपकी साइट एक संवेदनशील संस्करण चला रही है, तो तुरंत अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो आधिकारिक सुधार लागू करने तक जोखिम को कम करने के लिए नीचे दिए गए प्राथमिकता वाले शमन का पालन करें।.

यह क्यों खतरनाक है (खतरा मॉडल और प्रभाव)

  • हमले का वेक्टर: संवेदनशील प्लगइन एंडपॉइंट पर अनधिकृत दूरस्थ HTTP अनुरोध।.
  • परिणाम: खाता अधिग्रहण (पासवर्ड/ईमेल परिवर्तन या भूमिका असाइनमेंट) और प्रशासक विशेषाधिकारों में वृद्धि।.
  • परिणाम: पूर्ण साइट अधिग्रहण, बैकडोर, डेटा निकासी, जुड़े सेवाओं का समझौता (मेलिंग सूचियाँ, भुगतान गेटवे), और संभावित मैलवेयर वितरण।.
  • शोषण की आसानी: मध्यम-से-उच्च — बिना क्रेडेंशियल के शोषण योग्य और बड़े पैमाने पर स्वचालित किया जा सकता है।.

प्रभाव रेटिंग: उच्च (CVSS 8.1)। प्रभावित प्लगइन का उपयोग करने वाली किसी भी साइट के लिए इसे आपातकाल के रूप में मानें।.

उच्च-स्तरीय तकनीकी सारांश (कोई शोषण विवरण नहीं)

प्लगइन का रीसेट/खाता संशोधन प्रवाह संवेदनशील संचालन की पर्याप्त सुरक्षा करने में विफल रहता है:

  • मजबूत, क्रिप्टोग्राफिक रूप से सुरक्षित टोकन लागू नहीं करना या उन्हें सही ढंग से मान्य नहीं करना।.
  • रीसेट टोकन/क्रियाओं को एक सत्यापित वितरण चैनल (उपयोगकर्ता ईमेल) या सुरक्षित सर्वर नॉन्स से नहीं जोड़ना।.
  • संवेदनशील परिवर्तनों को करने से पहले अनुरोधकर्ता की वैध खाता स्वामी के रूप में सत्यापन करने में विफलता।.
  • प्रमाणीकरण स्थिति को संशोधित करने वाले एंडपॉइंट्स पर पर्याप्त दर-सीमा और अनुरोध सत्यापन की कमी।.

इन कमजोरियों के कारण, तैयार किए गए अनुरोध खाता क्रेडेंशियल्स को बदल सकते हैं या पूर्व प्रमाणीकरण के बिना विशेषाधिकार बढ़ा सकते हैं। कार्यान्वयन विवरण जानबूझकर छोड़े गए हैं ताकि दुरुपयोग को सक्षम करने से बचा जा सके।.

तात्कालिक प्राथमिकता वाली चेकलिस्ट

यदि आपकी साइट Build App Online (≤ 1.0.22) का उपयोग करती है, तो तुरंत प्राथमिकता क्रम में निम्नलिखित करें:

  1. अपडेट प्रभावित साइट पर प्लगइन को 1.0.23 या बाद के संस्करण में अपडेट करें। यह निश्चित समाधान है।.
  2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, प्लगइन को निष्क्रिय करें कमजोर एंडपॉइंट को सार्वजनिक पहुंच से हटा दें।.
  3. यदि व्यावसायिक कारणों से निष्क्रिय करना संभव नहीं है, प्लगइन के रीसेट/एंडपॉइंट को ब्लॉक करें वेब सर्वर (Nginx/Apache) पर या नेटवर्क-स्तरीय फ़िल्टर के साथ — ज्ञात प्लगइन पथों के लिए अनधिकृत अनुरोधों को अस्वीकार करें।.
  4. पासवर्ड रीसेट करने के लिए मजबूर करें और सभी विशेषाधिकार प्राप्त खातों (प्रशासक, संपादक, साइट प्रबंधक) के लिए क्रेडेंशियल्स को घुमाएं।.
  5. मल्टी-फैक्टर प्रमाणीकरण (MFA) सक्षम करें। प्रशासक खातों के लिए अधिग्रहण के अवसर को कम करने के लिए।.
  6. लॉग की समीक्षा करें संदिग्ध रीसेट घटनाओं, अप्रत्याशित उपयोगकर्ता परिवर्तनों या नए प्रशासक खातों के लिए।.
  7. समझौते की जांच करें (फाइल संशोधन, वेबशेल, अप्रत्याशित क्रोन नौकरियां)।.
  8. यदि समझौते का संदेह है, तो तुरंत containment और recovery कदम उठाएं (नेटवर्क डिस्कनेक्ट करें, लॉग्स को संरक्षित करें, साफ बैकअप से पुनर्निर्माण करें)।.

अपडेट बनाम अस्थायी शमन

प्राथमिक उपाय: ठीक किए गए प्लगइन संस्करण (1.0.23+) में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं तो द्वितीयक (अस्थायी) शमन:

  • प्लगइन को निष्क्रिय करें।.
  • प्लगइन के एंडपॉइंट्स तक पहुंच को अस्वीकार करने के लिए वेब सर्वर नियम (Nginx/Apache) लागू करें।.
  • नेटवर्क किनारे या रिवर्स प्रॉक्सी पर रीसेट कार्यक्षमता से मेल खाने वाले अनुरोधों को ब्लॉक या फ़िल्टर करें।.
  • सार्वजनिक फॉर्म के लिए दर-सीमा निर्धारित करें और CAPTCHA जोड़ें जो पासवर्ड रीसेट को ट्रिगर करते हैं।.
  • जहां संभव हो, आईपी अनुमति सूची द्वारा व्यवस्थापक पहुंच को प्रतिबंधित करें।.
  • MFA लागू करें और व्यवस्थापक क्रेडेंशियल्स को घुमाएं।.

ये अस्थायी उपाय हैं जब तक आप विक्रेता का आधिकारिक पैच लागू नहीं कर सकते।.

सक्रिय शोषण का पता लगाना - समझौते के संकेत (IoCs)

  • अप्रत्याशित पासवर्ड रीसेट ईमेल या सूचनाएं।.
  • व्यवस्थापक उपयोगकर्ता ईमेल पते, उपयोगकर्ता नाम, प्रदर्शन नाम, भूमिकाओं या क्षमताओं में अस्पष्ट परिवर्तन।.
  • नए प्रशासनिक उपयोगकर्ता जिन्हें आपने नहीं बनाया।.
  • अपरिचित आईपी पते या क्षेत्रों से लॉगिन घटनाएं।.
  • संदिग्ध अनुसूचित कार्य (wp‑cron प्रविष्टियाँ) या नए क्रोन हुक।.
  • प्लगइन, थीम या अपलोड निर्देशिकाओं में नए या संशोधित फ़ाइलें (विशेष रूप से PHP फ़ाइलें या अस्पष्ट सामग्री)।.
  • अज्ञात प्रशासनिक गतिविधि: प्लगइन/थीम इंस्टॉलेशन, सेटिंग्स में परिवर्तन, भुगतान क्रेडेंशियल्स जोड़े गए।.
  • दूरस्थ पहुंच बैकडोर की उपस्थिति (eval/base64_decode/obfuscation का उपयोग करने वाली फ़ाइलें), असामान्य .htaccess रीडायरेक्ट, या थीम फ़ाइलों में कोड इंजेक्ट किया गया।.
  • CPU या आउटबाउंड ट्रैफ़िक में असामान्य वृद्धि।.

फोरेंसिक समीक्षा के लिए लॉग (वेब सर्वर, PHP, वर्डप्रेस डिबग लॉग) को संरक्षित करें।.

व्यावहारिक पहचान कदम (कमांड और जांच)

जहां संभव हो, इन जांचों को एक स्टेजिंग कॉपी पर करें। निम्नलिखित कमांड WP‑CLI और मानक शेल उपकरणों का उपयोग करते हैं।.

1. उपयोगकर्ताओं और भूमिकाओं की सूची

# भूमिकाओं के साथ उपयोगकर्ताओं की सूची

2. हाल ही में बनाए गए व्यवस्थापक उपयोगकर्ताओं को खोजें

# SQL: पिछले 7 दिनों में बनाए गए उपयोगकर्ता"

3. भूमिका/क्षमता परिवर्तनों की जांच करें

# 'wp_capabilities' के लिए उपयोगकर्ता मेटा प्राप्त करें

4. हाल ही में संशोधित PHP फ़ाइलें खोजें

# wp-content के तहत पिछले 7 दिनों में संशोधित PHP फ़ाइलें खोजें

5. वेब सर्वर एक्सेस लॉग की जांच करें

# प्लगइन या रीसेट गतिविधि का संदर्भ देने वाले अनुरोधों की तलाश करें

6. WP क्रोन इवेंट्स की सूची बनाएं

# WP-CLI क्रोन समर्थन की आवश्यकता है

7. प्लगइन संस्करण की पुष्टि करें

# प्लगइन का स्थापित संस्करण जांचें

यदि आपको समझौता होने का संदेह है - संकुचन और पुनर्प्राप्ति चेकलिस्ट

  1. सीमित करें
    • साइट को रखरखाव मोड में डालें या इसे ऑफलाइन ले जाएं।.
    • प्रशासकों के लिए सक्रिय सत्रों को रद्द करें (नीचे WP‑CLI कमांड देखें)।.
    • यदि स्वयं-होस्टेड है और सबूत को संरक्षित करना आवश्यक है, तो होस्ट को नेटवर्क से अलग करें।.
  2. साक्ष्य को संरक्षित करें
    • फ़ाइल सिस्टम और डेटाबेस के पूर्ण केवल-पढ़ने वाले बैकअप बनाएं।.
    • लॉग एकत्र करें (वेब सर्वर, PHP, SFTP, DB) और जांचकर्ताओं के लिए अलग से संग्रहीत करें।.
  3. सुधार करें
    • स्टेजिंग में प्लगइन को 1.0.23 में अपडेट करें, परीक्षण करें, फिर उत्पादन में तैनात करें।.
    • अनधिकृत व्यवस्थापक उपयोगकर्ताओं और खोजे गए बैकडोर को हटा दें। विश्वसनीय स्रोतों से समझौता की गई फ़ाइलों को बदलें।.
    • सभी क्रेडेंशियल्स को घुमाएं: वर्डप्रेस व्यवस्थापक पासवर्ड, DB क्रेडेंशियल्स, API कुंजी, SFTP कुंजी।.
    • wp-config.php में नमक/कुंजी घुमाएं (AUTH_KEY, SECURE_AUTH_KEY, आदि)।.
    • सभी अन्य प्लगइन्स/थीम्स को अपडेट करें और अप्रयुक्त घटकों को हटा दें।.
  4. पुनर्स्थापित करें और सत्यापित करें
    • समझौते से पहले लिए गए एक साफ बैकअप से पुनर्स्थापना पर विचार करें, फिर अपडेट करें और पुनः कनेक्ट करने से पहले इसे मजबूत करें।.
    • मैलवेयर स्कैनर के साथ फिर से स्कैन करें और फ़ाइल अखंडता जांचें।.
  5. घटना के बाद
    • घटना की समयरेखा, मूल कारण और उठाए गए कदमों का दस्तावेजीकरण करें।.
    • हितधारकों को रिपोर्ट करें और यदि PII या भुगतान डेटा उजागर हुआ है तो नियामक प्रकटीकरण का पालन करें।.
    • मूल कारण और आवश्यक मजबूत करने की पुष्टि के लिए सुरक्षा ऑडिट पर विचार करें।.

उदाहरण WP‑CLI कंटेनमेंट कमांड

# सभी सत्र समाप्त करें (WordPress 4.0+)

भविष्य के जोखिम को कम करने के लिए कठोरता की सिफारिशें

  • WordPress कोर, थीम और प्लगइन्स को अद्यतित रखें; सुरक्षा अपडेट तुरंत लागू करें।.
  • मजबूत पासवर्ड लागू करें और सभी विशेषाधिकार प्राप्त खातों के लिए MFA सक्षम करें।.
  • न्यूनतम विशेषाधिकार का उपयोग करें: व्यवस्थापक खातों को सीमित करें और साझा व्यवस्थापक क्रेडेंशियल से बचें।.
  • जहां संचालन के लिए संभव हो, wp-admin पहुंच को IP द्वारा प्रतिबंधित करें।.
  • डैशबोर्ड में फ़ाइल संपादन को अक्षम करें: 
    define('DISALLOW_FILE_EDIT', true);
  • सुरक्षित होस्टिंग का उपयोग करें जिसमें वातावरण का पृथक्करण, कड़े फ़ाइल अनुमतियाँ और नियमित बैकअप शामिल हों।.
  • फ़ाइल परिवर्तनों और असामान्य व्यवस्थापक गतिविधियों की निगरानी करें; संचालन में अलर्ट को एकीकृत करें।.
  • सार्वजनिक एंडपॉइंट्स के लिए दर सीमित करने, CAPTCHA और अन्य दुरुपयोग नियंत्रण लागू करें।.
  • साइट व्यवस्थापकों को फ़िशिंग और क्रेडेंशियल स्वच्छता के बारे में शिक्षित करें।.

डेवलपर मार्गदर्शन: रीसेट प्रवाह के सुरक्षित कार्यान्वयन

प्लगइन लेखकों को किसी भी ऑपरेशन के लिए इन सुरक्षित विकास प्रथाओं का पालन करना चाहिए जो प्रमाणीकरण स्थिति को बदलता है:

  • पासवर्ड रीसेट और उपयोगकर्ता प्रबंधन के लिए संभव हो तो WordPress कोर APIs का उपयोग करें।.
  • क्रिप्टोग्राफिक रूप से सुरक्षित टोकन उत्पन्न करें और उन्हें एक विशिष्ट उपयोगकर्ता और वितरण चैनल (पुष्ट ईमेल) से जोड़ें।.
  • किसी भी क्रिया के लिए नॉनसेस को मान्य करें जो भूमिकाओं या विशेषाधिकारों को संशोधित करता है।.
  • सभी इनपुट को सख्ती से साफ़ और मान्य करें; प्रशासनिक क्रियाओं को संदर्भ (IP, उपयोगकर्ता एजेंट, टाइमस्टैम्प) के साथ लॉग करें।.
  • स्वचालित हमलों को कम करने के लिए सार्वजनिक एंडपॉइंट्स पर दर सीमित करने और CAPTCHA लागू करें।.
  • एंडपॉइंट्स को इस तरह से डिज़ाइन करें कि स्थिति-परिवर्तन करने वाली क्रियाओं के लिए प्रमाणित संदर्भ की आवश्यकता हो, जब तक कि यह सख्ती से आवश्यक न हो।.

वेब सर्वर/WAF के लिए उदाहरण शमन पैटर्न (सैद्धांतिक)

इन उच्च-स्तरीय नियमों को किनारे पर या आपके वेब सर्वर कॉन्फ़िगरेशन में अस्थायी शमन के रूप में लागू करें। सटीक पेलोड पर निर्भर रहने से बचें - व्यवहार और पैटर्न पहचान को प्राथमिकता दें।.

  • ज्ञात प्लगइन रीसेट एंडपॉइंट्स पर POST अनुरोधों को ब्लॉक या दर-सीमित करें जब तक कि वे एक मान्य, CSRF-सुरक्षित फॉर्म सत्र से उत्पन्न न हों।.
  • स्थिति-परिवर्तन करने वाले एंडपॉइंट्स के लिए गायब/अमान्य नॉनसेस के साथ अनुरोधों को अस्वीकार करें।.
  • क्रेडेंशियल परिवर्तनों को स्वीकार करने से पहले उपयोगकर्ता ईमेल पर मान्य सत्र या सुरक्षित टोकन की आवश्यकता करें।.
  • एकल IP या रेंज से बार-बार पासवर्ड रीसेट प्रयासों को थ्रॉटल करें।.
  1. 0–1 घंटा: प्राथमिकता दें और पहचानें; यदि सक्रिय शोषण का संदेह हो तो साइट को ऑफ़लाइन करें।.
  2. 1–4 घंटे: लॉग एकत्र करें और फोरेंसिक बैकअप बनाएं; सत्रों को रद्द करें और प्रशासनिक पासवर्ड बदलें।.
  3. 4–24 घंटे: अस्थायी शमन लागू करें (प्लगइन को निष्क्रिय करें, एंडपॉइंट्स को ब्लॉक करें, प्रशासनिक पहुंच को प्रतिबंधित करें)।.
  4. 24–72 घंटे: साफ़ करें, पैच किए गए संस्करणों में अपडेट करें और सेवाओं को सावधानीपूर्वक पुनर्स्थापित करें।.
  5. 72+ घंटे: स्थिरता के लिए निगरानी करें, घटना रिपोर्ट पूरी करें और नियंत्रणों को मजबूत करें।.

सामान्य प्रश्न

प्रश्न: मैंने 1.0.23 में अपडेट किया - क्या मुझे अभी भी कुछ और करना है?

उत्तर: हाँ। अपडेट करने से संवेदनशील कोड हटा दिया जाता है, लेकिन आपको अभी भी पिछले समझौते के संकेतों (संदिग्ध उपयोगकर्ता, संशोधित फ़ाइलें) की जांच करनी चाहिए, प्रशासक पासवर्ड और किसी भी उजागर API कुंजी को बदलना चाहिए, और लॉग की समीक्षा करनी चाहिए।.

प्रश्न: मैं साइट को ऑफ़लाइन नहीं ले जा सकता। मुझे क्या करना चाहिए?

उत्तर: यदि आप तुरंत प्लगइन को अपडेट या निष्क्रिय नहीं कर सकते हैं, तो कमजोर एंडपॉइंट्स को ब्लॉक करने के लिए नेटवर्क-स्तरीय फ़िल्टर या वेब सर्वर नियम लागू करें, विश्वसनीय IPs तक प्रशासनिक पहुंच को प्रतिबंधित करें, MFA सक्षम करें और लॉग की बारीकी से निगरानी करें।.

प्रश्न: क्या इसका प्रभाव वर्डप्रेस कोर पर पड़ता है?

A: यह कमजोरियां एक तृतीय-पक्ष प्लगइन के रीसेट प्रवाह में हैं, न कि वर्डप्रेस कोर में। हालांकि, क्योंकि यह प्रमाणीकरण बाईपास को सक्षम करता है, यह पूरे साइट के समझौते की ओर ले जा सकता है।.

Q: क्या हमलावर इसे स्वचालित कर सकते हैं?

A: हाँ। यह कमजोरियां बिना प्रमाणीकरण के HTTP अनुरोधों के माध्यम से सक्रिय की जा सकती हैं और स्वचालित स्कैनिंग और शोषण के लिए अनुकूल हैं, जिससे जोखिम बढ़ता है।.

नमूना पुनर्प्राप्ति प्लेबुक

  1. स्टेजिंग में प्लगइन को 1.0.23 में अपडेट करें और स्मोक परीक्षण करें।.
  2. एक संक्षिप्त रखरखाव विंडो निर्धारित करें और उत्पादन में अपडेट करें।.
  3. अपडेट के तुरंत बाद:
    • व्यवस्थापक पासवर्ड रीसेट करें और MFA लागू करें।.
    • सक्रिय सत्रों को रद्द करें।.
    • वेबशेल और असामान्य संशोधनों के लिए फ़ाइल प्रणाली को स्कैन करें।.
    • मैलवेयर स्कैन चलाएं और परिणामों की समीक्षा करें।.
  4. यदि सफाई के बारे में अनिश्चित हैं, तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें और पैच किया गया प्लगइन लागू करें।.
  5. घटना और सीखे गए पाठों का दस्तावेजीकरण करें।.

वास्तविक लॉग लाल झंडे

  • सामान्य ट्रैफ़िक पैटर्न के बाहर रीसेट, टोकन या नए_पासवर्ड को संदर्भित करने वाले पैरामीटर के साथ प्लगइन फ़ाइलों के लिए POST अनुरोध।.
  • एक ही स्रोत से कई खातों के लिए पासवर्ड रीसेट अनुरोधों की उच्च मात्रा।.
  • एक ही क्लाइंट IP से संदिग्ध रीसेट अनुरोधों के तुरंत बाद सफल व्यवस्थापक लॉगिन।.
  • बिना अनुमति के वेब सर्वर प्रक्रिया द्वारा थीम या प्लगइन निर्देशिकाओं में फ़ाइल लेखन।.

समापन नोट्स और अगले कदम

  • तत्काल: हर प्रभावित साइट पर Build App Online प्लगइन को 1.0.23 में अपडेट करें।.
  • यदि तुरंत अपडेट करना संभव नहीं है: प्लगइन को निष्क्रिय करें या कमजोर अंत बिंदुओं पर वेब सर्वर/WAF ब्लॉक्स लागू करें।.
  • अनिवार्य: विशेषाधिकार प्राप्त पासवर्ड रीसेट और घुमाएं, व्यवस्थापकों के लिए MFA सक्षम करें, और संदिग्ध गतिविधियों के लिए लॉग की समीक्षा करें।.
  • दीर्घकालिक: निरंतर निगरानी अपनाएं, मजबूत परिवर्तन नियंत्रण लागू करें, और तृतीय-पक्ष घटकों के लिए सुरक्षित विकास और तैनाती प्रथाओं को लागू करें।.

यदि आपको पेशेवर घटना प्रतिक्रिया की आवश्यकता है, तो एक अनुभवी सुरक्षा प्रतिक्रियाकर्ता या सलाहकार को शामिल करें जिसमें वर्डप्रेस फोरेंसिक अनुभव हो। सबूतों को संरक्षित करें, जल्दी कार्रवाई करें और ऊपर दिए गए कंटेनमेंट चेकलिस्ट का पालन करें।.

एक हांगकांग सुरक्षा विशेषज्ञ द्वारा तैयार किया गया - वर्डप्रेस ऑपरेटरों के लिए व्यावहारिक, क्षेत्र-परखा मार्गदर्शन। यदि आप प्रभावित प्लगइन का उपयोग करते हैं तो जल्दी कार्रवाई करें।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

ज़रीनपाल प्लगइन एक्सेस कंट्रोल सलाह (CVE20262592)

अगला लेख —

हांगकांग सुरक्षा चेतावनी MP उकागाका भेद्यता (CVE20261643)

आपको यह भी पसंद आ सकता है