सारांश

13 फरवरी 2026 को बुकर (संस्करण ≤ 1.0.2) को प्रभावित करने वाली टूटी हुई एक्सेस कंट्रोल सुरक्षा कमजोरी का खुलासा किया गया (CVE-2026-1932)। यह दोष अनधिकृत उपयोगकर्ताओं को अपॉइंटमेंट की स्थिति को संशोधित करने की अनुमति देता है—पुष्टि करना, रद्द करना या अन्यथा बुकिंग को बदलना—प्लगइन एंडपॉइंट्स को कॉल करके जो उचित प्राधिकरण जांच (प्रमाणन/नॉन्स सत्यापन की कमी) की कमी रखते हैं।.

हालांकि कुछ आकलन इस मुद्दे को निम्न-से-मध्यम (CVSS 5.3) के रूप में रेट करते हैं, लेकिन अपॉइंटमेंट-आधारित व्यवसायों के लिए संचालनात्मक प्रभाव महत्वपूर्ण हो सकता है: खोई हुई आय, शेड्यूलिंग का अराजकता और प्रतिष्ठात्मक नुकसान। नीचे इस मुद्दे का स्पष्ट, व्यावहारिक स्पष्टीकरण है, कौन प्रभावित है, इसे कैसे दुरुपयोग किया जा सकता है, और आप जो तात्कालिक और दीर्घकालिक सुरक्षा उपाय लागू कर सकते हैं।.

यह सुरक्षा कमजोरी वास्तव में क्या है

इस संदर्भ में टूटी हुई एक्सेस कंट्रोल का अर्थ है कि बुकर में एक या एक से अधिक एंडपॉइंट्स ऐसे अनुरोध स्वीकार करते हैं जो अपॉइंटमेंट की स्थिति को बिना यह सत्यापित किए बदलते हैं कि कॉल करने वाला एक प्रमाणित और अधिकृत उपयोगकर्ता है (जैसे, प्रशासक या बुकिंग प्रबंधक), और बिना नॉन्स या अन्य प्राधिकरण टोकन को मान्य किए। संक्षेप में: अनधिकृत HTTP अनुरोध अपॉइंटमेंट रिकॉर्ड को बदल सकते हैं।.

प्रभावित संचालन के सामान्य उदाहरण:

• अपॉइंटमेंट की स्थिति को “पुष्टि की गई” या “रद्द की गई” में बदलना”
• अपॉइंटमेंट को “नो-शो” या “पूर्ण” के रूप में चिह्नित करना”
• ग्राहक/स्वामी की सहमति के बिना भुगतान/पुष्टि प्रवाह को नए राज्य में संक्रमण करने के लिए मजबूर करना

यह क्यों खतरनाक है (वास्तविक दुनिया के प्रभाव)

यह सुरक्षा कमजोरी दूरस्थ कोड निष्पादन या डेटाबेस निर्यात की अनुमति नहीं दे सकती है, लेकिन कार्यात्मक परिणाम महत्वपूर्ण हैं:

• व्यवसाय में व्यवधान: सामूहिक रद्दीकरण या पुष्टि क्लिनिक, सैलून, सलाहकारों और अन्य सेवा प्रदाताओं के लिए शेड्यूलिंग को बाधित करती है।.
• आय का प्रभाव: स्वचालित रद्दीकरण आय हानि या डबल-बुकिंग उत्पन्न कर सकते हैं जब रद्द किए गए स्लॉट को फिर से बेचा जाता है।.
• ग्राहक विश्वास और ओवरहेड: ग्राहक जो अपॉइंटमेंट खो देते हैं, समर्थन का बोझ और प्रतिष्ठात्मक नुकसान उत्पन्न करते हैं।.
• धोखाधड़ी और हेरफेर: झूठी पुष्टि या रद्दीकरण का उपयोग नो-शो उत्पन्न करने, कर्मचारियों को भ्रमित करने, या उपलब्धता में हेरफेर करने के लिए किया जा सकता है।.
• डेटा अखंडता की समस्याएँ: CRM या कैलेंडर सिंक के साथ एकीकरण विफल हो जाएंगे या असंगत स्थिति दिखाएंगे।.
• लक्षित हानि: प्रतिस्पर्धी या दुर्भावनापूर्ण अभिनेता इसका उपयोग संचालन को बाधित करने या जबरन वसूली के लिए दबाव डालने के लिए कर सकते हैं।.

जहां प्लगइन सामान्यतः विफल होता है (तकनीकी मूल कारण)

प्रकटीकरण के आधार पर, Bookr कार्यक्षमता को उजागर करता है (संभवतः admin-ajax क्रियाओं या REST एंडपॉइंट्स के माध्यम से) जो अपॉइंटमेंट स्थिति को अपडेट करता है। कोड पथ में कमी है:

• क्षमता जांच (current_user_can())
• वर्डप्रेस नॉन्स सत्यापन (wp_verify_nonce)
• REST अनुरोधों के लिए उचित सत्र/प्रमाणीकरण सत्यापन
• स्थिति-परिवर्तन एंडपॉइंट्स के लिए दर सीमा या एंटी-ऑटोमेशन सुरक्षा

चूंकि ये जांच अनुपस्थित हैं, कोई भी क्लाइंट जो एंडपॉइंट तक पहुँच सकता है, अपॉइंटमेंट को संशोधित करने के लिए अनुरोध बना सकता है।.

किसे चिंता करनी चाहिए

• कोई भी साइट जो Bookr प्लगइन संस्करण ≤ 1.0.2 का उपयोग करती है
• साइटें जो अपॉइंटमेंट बुकिंग पर राजस्व या महत्वपूर्ण संचालन (क्लिनिक, सैलून, पेशेवर सेवाएँ, ट्यूटर, आदि) पर निर्भर करती हैं
• साइटें जहाँ प्लगइन एंडपॉइंट सार्वजनिक रूप से उजागर हैं या जहाँ फ्रंट-एंड कोड बिना उचित सुरक्षा के admin-ajax या REST रूट्स को कॉल कर सकता है

यहां तक कि छोटे साइटें भी सीमित संख्या में हेरफेर किए गए अपॉइंटमेंट से असमान नुकसान उठा सकती हैं।.

1. समझौते के संकेत (क्या देखना है)

दुरुपयोग के संकेतों के लिए लॉग और व्यवहार की जांच करें:

• खाली या संदिग्ध “changed_by” फ़ील्ड के साथ अप्रत्याशित अपॉइंटमेंट स्थिति परिवर्तन
• एक छोटे समय विंडो में स्थिति परिवर्तनों का विस्फोट
• अनुरोध /wp-admin/admin-ajax.php या REST रूट्स जिनमें “bookr”, “appointment”, “status” शामिल हैं, बिना सत्र कुकी के IPs से
• POST अनुरोधों के लिए 200 OK प्रतिक्रियाएँ जो प्रमाणीकरण की आवश्यकता होनी चाहिए लेकिन कुकी/नॉन्स की कमी है
• उपयोगकर्ता की रिपोर्टें नियुक्तियों के रद्द या पुष्टि किए जाने की बिना कार्रवाई के

खोजने के लिए उदाहरण लॉग हस्ताक्षर:

POST /wp-admin/admin-ajax.php?action=bookr_update_appointment_status HTTP/1.1

एकल आईपी से एक ही एंडपॉइंट पर दोहराए गए POSTs की तलाश करें (स्वचालन/स्कैनिंग)। सटीक एंडपॉइंट नाम भिन्न हो सकते हैं; अनुरोध पथों और पैरामीटर में “bookr” और “appointment” के लिए खोजें।.

तत्काल (पहली प्रतिक्रिया) कदम जो आपको अब उठाने चाहिए

यदि आप Bookr ≤ 1.0.2 चला रहे हैं, तो दीर्घकालिक सुधारों का आकलन करते समय तुरंत ये कदम उठाएं:

1. यदि लाइव बुकिंग की अखंडता महत्वपूर्ण है, तो बुकिंग सिस्टम को रखरखाव या केवल-पढ़ने के मोड में रखने पर विचार करें।.
2. यदि आप एक छोटे आउटेज को सहन कर सकते हैं तो अस्थायी रूप से Bookr प्लगइन को निष्क्रिय करें—यह सबसे सुरक्षित अल्पकालिक विकल्प है।.
3. यदि निष्क्रिय करना संभव नहीं है, तो एक या अधिक शमन उपाय लागू करें:
   • Bookr एंडपॉइंट्स पर बिना प्रमाणीकरण वाले POST/PUT अनुरोधों को ब्लॉक करने के लिए होस्ट-स्तरीय सुरक्षा या एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें।.
   • जहां संभव हो, गैर-ब्राउज़र उपयोगकर्ता एजेंटों या वैध कुकीज़ के बिना अनुरोधों के लिए admin-ajax.php तक पहुंच को ब्लॉक करें।.
   • अस्थायी रूप से प्रशासनिक मार्गों पर HTTP बेसिक ऑथ या आईपी-प्रतिबंध लागू करें।.
   • स्वचालित शोषण को धीमा करने के लिए संदिग्ध एंडपॉइंट्स पर दर-सीमा लगाएं।.
4. ऊपर दिए गए संकेतकों के लिए पहुंच और त्रुटि लॉग की जांच करें; घटना प्रतिक्रिया के लिए लॉग एकत्र करें और बनाए रखें।.
5. स्थिति परिवर्तन करने या पुनर्प्राप्ति का प्रयास करने से पहले सुनिश्चित करें कि आपके पास डेटाबेस और फ़ाइलों का हालिया बैकअप है।.

वर्चुअल पैचिंग और WAF सुरक्षा (विक्रेता-न्यूट्रल मार्गदर्शन)

जब कोड सुधार तुरंत उपलब्ध नहीं हो, तो HTTP स्तर पर वर्चुअल पैचिंग प्रभावी हो सकती है। मुख्य बिंदु:

• लक्षित नियमों को सटीक रूप से: एंडपॉइंट्स, पैरामीटर, HTTP विधियों और प्रमाणीकरण कलाकृतियों की अनुपस्थिति से मेल करें।.
• प्रमाणीकरण ट्रैफ़िक की अनुमति दें: उन अनुरोधों की अनुमति दें जो वैध वर्डप्रेस सत्र कुकीज़ और सत्यापित नॉन्स शामिल करते हैं।.
• वैध AJAX इंटरैक्शन को तोड़ने से बचने के लिए स्टेजिंग में नियमों का परीक्षण करें।.
• कई दिनों तक अवरुद्ध अनुरोधों को लॉग करें ताकि यह सत्यापित किया जा सके कि क्या नियमों में समायोजन की आवश्यकता है।.
• नियुक्ति अंत बिंदुओं पर POST/PUT क्रियाओं के लिए दर सीमाएँ लागू करें।.

चित्रात्मक नियम तर्क (छद्म):

# अविश्वसनीय Bookr admin-ajax क्रियाओं को अवरुद्ध करें

ये उदाहरण चित्रात्मक हैं। गलत सकारात्मकता से बचने और वैध कार्यप्रवाहों के कार्य करने को सुनिश्चित करने के लिए नियमों को समायोजित करें।.

एक प्रभावी आभासी पैच कैसे तैयार करें (अनुशंसित WAF/नियम रणनीति)

नियम लेखकों के लिए व्यावहारिक सिद्धांत:

1. सटीक रहें: सभी AJAX या REST ट्रैफ़िक को व्यापक रूप से अवरुद्ध करने के बजाय विशिष्ट पथ, क्रियाओं और HTTP विधियों से मेल खाएं।.
2. प्रमाणित उपयोगकर्ताओं को अनुमति देने को प्राथमिकता दें: वैध wordpress_logged_in कुकीज़ और वैध नॉनस के साथ अनुरोधों की अनुमति दें।.
3. लॉग और निगरानी करें: अवरुद्ध प्रयासों का रिकॉर्ड रखें और समायोजन के लिए समीक्षा करें।.
4. दर-सीमा: अधिकांश वैध उपयोगकर्ता एक छोटे समय में कई स्थिति परिवर्तनों को नहीं करेंगे; उच्च-आवृत्ति अनुरोधों को सीमित करें।.
5. उत्पादन में लागू करने से पहले स्टेजिंग में परीक्षण करें।.

क्यों आपको अस्पष्टता के माध्यम से सुरक्षा पर भरोसा नहीं करना चाहिए

प्लगइन फ़ोल्डरों का नाम बदलना या अंत बिंदुओं को छिपाना नाजुक है। स्वचालित स्कैनर और सरल अनुरोध परीक्षण ज्ञात पथों को प्रकट करेंगे। गहराई में रक्षा सही दृष्टिकोण है:

• प्लगइनों को अपडेट करें और विक्रेताओं से सुरक्षित कोडिंग की मांग करें।.
• तत्काल शमन के रूप में WAF/आभासी पैचिंग का उपयोग करें।.
• WordPress पहुँच और अनुमतियों को मजबूत करें।.
• बुकिंग गतिविधि की निगरानी करें और लॉग रखें।.

दीर्घकालिक सुधार और सर्वोत्तम प्रथाएँ

1. जब विक्रेता एक स्थिर संस्करण जारी करे तो प्लगइन को पैच करें। यदि कोई समय सीमा प्रदान नहीं की गई है, तो सुरक्षित विकास प्रथाओं का पालन करने वाले विकल्पों पर विचार करें।.
2. किसी भी कस्टम इंटीग्रेशन (सीआरएम, कैलेंडर, भुगतान प्रणाली) के लिए सुरक्षा अंतराल का ऑडिट करें।.
3. वर्डप्रेस को मजबूत करें: कोर, थीम और प्लगइन्स को अपडेट रखें; अप्रयुक्त प्लगइन्स को हटा दें; विशेषाधिकार प्राप्त खातों के लिए मजबूत पासवर्ड और मल्टी-फैक्टर प्रमाणीकरण लागू करें।.
4. सुनिश्चित करें कि बुकिंग एंडपॉइंट्स के साथ इंटरैक्ट करने वाला कोड क्षमता जांच (current_user_can()) करता है और नॉनसेस (wp_verify_nonce) की पुष्टि करता है।.
5. अपॉइंटमेंट परिवर्तनों और असामान्य स्वचालन के लिए लॉगिंग और निगरानी लागू करें।.
6. बुकिंग सिस्टम छेड़छाड़ के लिए विशिष्ट घटना प्रतिक्रिया प्लेबुक बनाएं।.

यदि आपको शोषित किया गया है तो पुनर्प्राप्ति कदम

1. लॉग और सबूत को संरक्षित करें - बैकअप और दस्तावेज़ित होने तक लॉग या डेटाबेस को संशोधित न करें।.
2. यदि पहले से नहीं किया गया है तो कमजोर प्लगइन को ऑफ़लाइन ले जाएं।.
3. जहां संभव हो, सबसे हालिया ज्ञात-गुड बैकअप से अपॉइंटमेंट स्थिति को पुनर्स्थापित करें।.
4. प्रभावित बुकिंग को निर्यात करें और स्पष्ट सुधारात्मक कदमों के साथ प्रभावित ग्राहकों को सूचित करें।.
5. बुकिंग सिस्टम से जुड़े एपीआई कुंजी, वेबहुक रहस्य और इंटीग्रेशन टोकन को घुमाएं।.
6. हमले के वेक्टर (आईपी, अनुरोध पैटर्न) की पहचान करें और उचित रूप से ब्लॉक या दर-सीमा निर्धारित करें।.
7. यह सुनिश्चित करने के लिए एक पूर्ण सुरक्षा ऑडिट करें कि कोई अतिरिक्त पैर नहीं प्राप्त हुए हैं।.

यह कैसे सत्यापित करें कि अनुरोध वैध है (डेवलपर्स के लिए चेकलिस्ट)

• स्थिति-परिवर्तनकारी संचालन के लिए प्रमाणीकरण की आवश्यकता है; गुमनाम एंडपॉइंट्स को कड़ी सीमित किया जाना चाहिए।.
• विशेषाधिकार प्राप्त क्रियाओं के लिए क्षमता जांच (current_user_can) का उपयोग करें।.
• AJAX और REST अनुरोधों के लिए नॉनसेस की पुष्टि करें (wp_verify_nonce; उपयोगकर्ता या टोकन को मान्य करने के लिए REST अनुमति कॉलबैक का उपयोग करें)।.
• सभी आने वाले पैरामीटर को साफ और मान्य करें।.
• हर स्थिति परिवर्तन के लिए अभिनेता की पहचान (उपयोगकर्ता आईडी या टोकन) और स्रोत आईपी को लॉग करें।.
• CSRF सुरक्षा का उपयोग करें और क्रॉस-ओरिजिन प्रभावों पर विचार करें।.

CVSS 5.3 अंतिम शब्द क्यों नहीं है

CVSS एक मानक गंभीरता मैट्रिक प्रदान करता है, लेकिन व्यावसायिक संदर्भ महत्वपूर्ण है। उन शेड्यूलिंग सिस्टम के लिए जहां अखंडता महत्वपूर्ण है, केवल अखंडता का दोष भी गंभीर परिचालन और वित्तीय नुकसान का कारण बन सकता है। CVSS बेस स्कोर की परवाह किए बिना महत्वपूर्ण व्यावसायिक प्रवाह को छूने वाले मुद्दों को गंभीरता से लें।.

अक्सर पूछे जाने वाले प्रश्न (FAQ)

प्रश्न: क्या एक हमलावर अपॉइंटमेंट बना सकता है या केवल स्थिति बदल सकता है?

उत्तर: प्रकट किया गया मुद्दा स्थिति संशोधन पर केंद्रित है। निर्माण या विलोपन संभव है या नहीं, यह अन्य एंडपॉइंट्स और उनकी जांचों पर निर्भर करता है। अपने Bookr इंस्टॉलेशन का ऑडिट करें ताकि इसकी पुष्टि हो सके।.

प्रश्न: यदि मेरे पास wp-admin पर IP-प्रतिबंध हैं, तो क्या मैं सुरक्षित हूं?

उत्तर: IP प्रतिबंध मदद करते हैं लेकिन पूरी तरह से सुरक्षित नहीं हैं। फ्रंट-एंड और REST अनुरोध कुछ सुरक्षा उपायों को कॉन्फ़िगरेशन के आधार पर बायपास कर सकते हैं। IP प्रतिबंधों को नॉनस जांचों और WAF नियमों के साथ मिलाएं।.

प्रश्न: क्या HTTPS मुझे सुरक्षित करता है?

उत्तर: HTTPS परिवहन की सुरक्षा करता है लेकिन एप्लिकेशन-लेयर प्रमाणीकरण और प्राधिकरण जांचों को प्रतिस्थापित नहीं करता है। यह बिना प्रमाणीकरण वाले अभिनेताओं को वैध दिखने वाले अनुरोध करने से नहीं रोकेगा।.

प्रश्न: क्या मुझे बुकिंग कार्यक्षमता को निष्क्रिय करना चाहिए?

उत्तर: यदि आप जल्दी से शमन लागू नहीं कर सकते और बुकिंग की अखंडता महत्वपूर्ण है, तो अस्थायी रूप से प्लगइन को निष्क्रिय करना या बुकिंग को मैनुअल प्रक्रिया में रूट करना समझदारी है।.

प्रश्न: क्या मैं मैन्युअल रूप से अपॉइंटमेंट परिवर्तनों की जांच और पूर्ववत कर सकता हूं?

उत्तर: हां, लॉग या DB बैकअप के साथ आप परिवर्तनों को सामंजस्य और पूर्ववत कर सकते हैं। यह समय लेने वाला हो सकता है—हितधारकों को सूचित रखें और प्रभावित ग्राहकों के लिए पुनर्प्राप्ति को प्राथमिकता दें।.

एक व्यावहारिक घटना प्रतिक्रिया चेकलिस्ट

• बिना प्रमाणीकरण वाले स्थिति-परिवर्तन संचालन को रोकने के लिए WAF नियम लागू करें।.
• पिछले 30 दिनों (या यदि उपलब्ध हो तो अधिक) के लिए लॉग एकत्र करें।.
• फोरेंसिक विश्लेषण के लिए साइट और डेटाबेस का स्नैपशॉट लें।.
• आंतरिक हितधारकों को सूचित करें (समर्थन, संचालन, कानूनी जहां लागू हो)।.
• यदि लाइव बुकिंग में छेड़छाड़ की गई है तो प्रभावित ग्राहकों के साथ तुरंत और पारदर्शी रूप से संवाद करें।.
• जब एक सत्यापित सुधार जारी किया जाए तो प्लगइन को पैच करें; पैच को मान्य करें और केवल सुधार की पुष्टि करने के बाद अस्थायी नियमों को हटा दें।.

डेवलपर मार्गदर्शन (प्लगइन कोड में सुधार कैसे करें)

प्लगइन रखरखाव करने वालों के लिए, सुनिश्चित करें कि सभी राज्य-परिवर्तनशील पथ अभिनेता और अनुरोध की अखंडता को मान्य करते हैं:

• AJAX हैंडलर:

  यदि ( ! isset( $_POST['nonce'] ) || ! wp_verify_nonce( $_POST['nonce'], 'bookr_action' ) ) {

• REST एंडपॉइंट:

  उपयोग करें permission_callback में register_rest_route प्रमाणीकरण और क्षमताओं की पुष्टि करने के लिए। मान्य टोकन या कुकीज़ के बिना अनुरोधों को अस्वीकार करें।.

हर पथ जो नियुक्ति डेटा को बदलता है, यह मान्य करना चाहिए कि परिवर्तन कौन कर रहा है और अनुरोध वास्तविक है।.

अपनी साइट का सुरक्षित परीक्षण कैसे करें (गैर-नाशक)

1. संदेहास्पद अंत बिंदुओं पर बिना प्रमाणीकरण वाले POST/PUT अनुरोधों को अस्वीकार किया गया है (403/401 या WAF द्वारा अवरुद्ध)।.
2. एक लॉगिन किए गए ब्राउज़र के साथ मान्य उपयोगकर्ता अनुरोधों का अनुकरण करें और सुनिश्चित करें कि अपेक्षित व्यवहार बना रहे।.
3. ग्राहकों को बाधित करने से बचने के लिए एक स्टेजिंग वातावरण में WAF नियमों का परीक्षण करें।.

अंतिम सिफारिशें (संक्षिप्त चेकलिस्ट)

• यदि आप Bookr ≤ 1.0.2 चला रहे हैं, तो इसे तत्काल समझें: सटीक WAF नियम लागू करें या प्लगइन को निष्क्रिय करें।.
• विश्वसनीय बैकअप और लॉग रखें - ये पुनर्प्राप्ति के लिए महत्वपूर्ण हैं।.
• डेवलपर सर्वोत्तम प्रथाओं को लागू करें: nonce जांच, क्षमता जांच, और बुकिंग अंत बिंदुओं पर सख्त इनपुट मान्यता।.
• सुरक्षा उपाय लागू होने के बाद असामान्य पैटर्न के लिए बुकिंग गतिविधि की निकटता से निगरानी करें।.
• यदि आवश्यक हो तो सहायता के लिए एक सुरक्षा पेशेवर या अपने होस्टिंग प्रदाता से संपर्क करें।.

समापन विचार

इस Bookr नियुक्ति मुद्दे जैसी टूटी हुई पहुंच नियंत्रण कमजोरियां सिद्धांतात्मक नहीं हैं - ये परिचालन जोखिम हैं। छोटी चूक (गायब nonce, अनुपस्थित क्षमता जांच) महत्वपूर्ण व्यावसायिक विघटन में बदल सकती हैं। परतदार रक्षा लागू करें: जहां संभव हो कोड ठीक करें, सटीक आभासी पैच और निगरानी लागू करें, और सामान्य संचालन पर लौटने से पहले सुधारों की पुष्टि करें।.

यदि आपको आभासी पैच लागू करने, बुकिंग अंत बिंदुओं की समीक्षा करने, या अपने वातावरण को मजबूत करने में सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा पेशेवर या अपने होस्टिंग प्रदाता से परामर्श करें। त्वरित, स्थानीयकृत कार्रवाई जोखिम को कम करती है और ग्राहकों और राजस्व की रक्षा करने में मदद करती है।.

कानूनी और प्रकटीकरण नोट

यह पोस्ट प्रभावित संस्करणों के साथ चलने वाली साइटों के लिए सार्वजनिक प्रकटीकरण और व्यावहारिक शमन का सारांश प्रस्तुत करता है। यहां कोई शोषण कोड प्रकट नहीं किया गया है। यदि आप एक प्लगइन डेवलपर या सुरक्षा शोधकर्ता हैं जिनके पास साझा करने के लिए तकनीकी विवरण हैं, तो कृपया उन्हें जिम्मेदारी से विक्रेता और उचित सुरक्षा चैनलों को प्रकट करें ताकि सभी साइट ऑपरेटरों के लिए सुधार और सुरक्षा को बेहतर बनाया जा सके।.