Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा चेतावनी iATS SQL इंजेक्शन (CVE20259441)

वर्डप्रेस iATS ऑनलाइन फॉर्म्स प्लगइन
0
शेयर
0
0
0
0





Urgent: iATS Online Forms (<=1.2) — Authenticated Contributor SQL Injection (CVE-2025-9441) — What WordPress Site Owners Need to Know


तत्काल: iATS ऑनलाइन फॉर्म्स (≤1.2) — प्रमाणित योगदानकर्ता SQL इंजेक्शन (CVE-2025-9441) — वर्डप्रेस साइट मालिकों को क्या जानना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ  |  दिनांक: 2025-08-29

  • वर्डप्रेस
  • सुरक्षा
  • एसक्यूएल इंजेक्शन
  • WAF
  • प्लगइन कमजोरियाँ
प्लगइन का नाम iATS ऑनलाइन फॉर्म्स
कमजोरियों का प्रकार एसक्यूएल इंजेक्शन
CVE संख्या CVE-2025-9441
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-29
स्रोत URL CVE-2025-9441

सारांश: एक प्रकट की गई कमजोरी (CVE-2025-9441) iATS ऑनलाइन फॉर्म्स प्लगइन संस्करणों ≤ 1.2 को प्रभावित करती है। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार हैं, एक अस्वच्छ आदेश पैरामीटर को SQL इंजेक्शन करने के लिए हेरफेर कर सकता है। यह लेख—हांगकांग के एक सुरक्षा पेशेवर के दृष्टिकोण से लिखा गया है—तकनीकी विवरण, जोखिम मूल्यांकन, पहचान, और साइट मालिकों और डेवलपर्स के लिए ठोस शमन को समझाता है।.

सामग्री की तालिका

  • क्या हुआ (उच्च स्तर)
  • यह साइट मालिकों के लिए क्यों महत्वपूर्ण है
  • तकनीकी पृष्ठभूमि (यह किस प्रकार का SQL इंजेक्शन आमतौर पर काम करता है)
  • शोषण आवश्यकताएँ और वास्तविक प्रभाव
  • समझौते के संकेत (IoCs) और जांचने के लिए लॉग
  • तत्काल कार्रवाई जो आपको करनी चाहिए (0–24 घंटे)
  • अल्पकालिक शमन (1–7 दिन)
  • अनुशंसित दीर्घकालिक समाधान और सुरक्षित कोडिंग प्रथाएँ
  • WAF कैसे मदद करता है (कौन से नियम लागू करें)
  • घटना प्रतिक्रिया चेकलिस्ट (यदि आपको उल्लंघन का संदेह है)
  • व्यावहारिक कोड हार्डनिंग उदाहरण (सुरक्षित पैटर्न)
  • निगरानी और पहचान सिफारिशें
  • अंतिम नोट्स और जिम्मेदार प्रकटीकरण

क्या हुआ (उच्च स्तर)

सुरक्षा शोधकर्ताओं ने iATS ऑनलाइन फॉर्म्स वर्डप्रेस प्लगइन (संस्करण 1.2 तक और शामिल) में एक SQL इंजेक्शन कमजोरियों का खुलासा किया है। इसका मूल कारण एक अस्वच्छ आदेश पैरामीटर है जो डेटाबेस क्वेरी बनाने के लिए उपयोग किया जाता है। योगदानकर्ता स्तर के उपयोगकर्ता—जो सामान्यतः संपादकीय या सामुदायिक साइटों पर उपयोग किए जाते हैं—उस पैरामीटर को प्रभावित कर सकते हैं। चूंकि मान को सुरक्षित व्हाइटलिस्ट के क्रमबद्ध कॉलम और दिशाओं तक सीमित नहीं किया गया है, इसे SQL क्वेरी संरचना को बदलने और संभावित रूप से डेटाबेस सामग्री को निकालने या संशोधित करने के लिए हेरफेर किया जा सकता है।.

सर्वर-साइड प्लगइन में SQL इंजेक्शन एक गंभीर मुद्दा है। वास्तविक दुनिया में प्रभाव इस बात पर निर्भर करता है कि प्लगइन डेटाबेस को कैसे क्वेरी करता है और हमलावर को क्या लौटाया जाता है, लेकिन संभावित परिणामों में डेटा का खुलासा, खाता समझौता, विशेषाधिकार वृद्धि, और अन्य कमजोरियों के साथ मिलकर स्थायी बैकडोर शामिल हैं।.

यह साइट मालिकों के लिए क्यों महत्वपूर्ण है

  • योगदानकर्ता खाते अक्सर अविश्वसनीय योगदानकर्ताओं (अतिथि लेखक, स्वयंसेवक) के लिए उपयोग किए जाते हैं। यह कमजोरी ऐसे खातों की उपस्थिति में जोखिम को बढ़ाती है।.
  • शोषण को स्वचालित किया जा सकता है और इसके लिए प्रशासनिक क्रेडेंशियल की आवश्यकता नहीं होती, जिससे कई साइटें आकर्षक लक्ष्य बन जाती हैं।.
  • वर्डप्रेस डेटाबेस में पासवर्ड हैश, टोकन, उपयोगकर्ता मेटाडेटा और अन्य संवेदनशील सामग्री होती है। SQLi ऐसे डेटा को उजागर या संशोधित कर सकता है।.
  • आधिकारिक पैच तुरंत उपलब्ध नहीं हो सकते; इसलिए साइटों को जोखिम को कम करने के लिए तात्कालिक उपायों की आवश्यकता होती है।.

तकनीकी पृष्ठभूमि — इस प्रकार के SQL इंजेक्शन आमतौर पर कैसे काम करते हैं

जब एक प्लगइन पैरामीटर (GET, POST, AJAX या प्रशासन-सॉर्टिंग) स्वीकार करता है और उनका उपयोग करके SQL बनाता है, तो कोड को या तो:

  1. डेटा मानों के लिए तैयार किए गए बयानों और बंधे हुए पैरामीटर का उपयोग करना चाहिए, या
  2. इंटरपोलेशन से पहले किसी भी पहचानकर्ता जैसे इनपुट (कॉलम नाम, सॉर्ट दिशाएँ) को व्हाइटलिस्ट/मान्य करना चाहिए।.

सामान्य गलतियों में ORDER BY क्लॉज में कच्चे पैरामीटर मानों को डालना या बिना मान्यता के उन्हें गतिशील पहचानकर्ताओं के रूप में उपयोग करना शामिल है। दुरुपयोग के उदाहरण:

  • ORDER BY कॉलम नामों और दिशाओं को स्वीकार कर सकता है। यदि एक आदेश पैरामीटर बिना जांच के इंटरपोलेट किया जाता है, तो एक हमलावर SQL सिंटैक्स इंजेक्ट कर सकता है (जैसे, id; DROP TABLE … या id DESC, (SELECT ...) DB इंजन के आधार पर)।.
  • सीधे आउटपुट के बिना भी, ब्लाइंड SQLi तकनीक (समय-आधारित, बूलियन-आधारित) डेटा को निकाल सकती है।.
  • कुछ वातावरण मल्टी-स्टेटमेंट क्वेरीज़ को प्रतिबंधित करते हैं, जो स्टैक्ड क्वेरीज़ को सीमित करता है, लेकिन ब्लाइंड तकनीकें व्यवहार्य बनी रहती हैं।.

iATS ऑनलाइन फॉर्म्स मामले के लिए रिपोर्ट किया गया वेक्टर है आदेश पैरामीटर—कुछ प्लगइन कोड पथों में योगदानकर्ताओं द्वारा सुलभ—बिना उचित व्हाइटलिस्टिंग के डेटाबेस क्वेरी बनाने के लिए उपयोग किया जाता है।.

शोषण आवश्यकताएँ और वास्तविक प्रभाव

शोषण के लिए पूर्वापेक्षाएँ:

  • iATS ऑनलाइन फॉर्म्स प्लगइन सक्रिय होना चाहिए।.
  • साइट को एक कमजोर संस्करण (≤ 1.2) पर चलाना चाहिए।.
  • हमलावर के पास कम से कम योगदानकर्ता स्तर की वर्डप्रेस पहुंच होनी चाहिए।.
  • कमजोर एंडपॉइंट योगदानकर्ताओं द्वारा पहुंच योग्य होना चाहिए (व्यवस्थापक सूचियाँ, कस्टम पोस्ट-प्रकार तालिकाएँ, AJAX एंडपॉइंट, आदि)।.

संभावित प्रभाव (संदर्भ-निर्भर):

  • डेटा प्रकटीकरण: तालिकाओं तक पहुंच जो क्वेरी द्वारा संदर्भित या उपक्वेरी के माध्यम से पहुंच योग्य हैं (wp_users, wp_usermeta, wp_options, प्लगइन तालिकाएँ)।.
  • खाता समझौता: चुराए गए पासवर्ड हैश या टोकन का उपयोग ऑफ़लाइन क्रैकिंग या सत्र हाइजैकिंग के लिए किया जा सकता है।.
  • विशेषाधिकार वृद्धि: SQL अपडेट उपयोगकर्ताओं को बना या बढ़ा सकते हैं यदि एप्लिकेशन DB परिवर्तनों को तुरंत दर्शाता है।.
  • स्थायी बैकडोर: जबकि SQLi सीधे फ़ाइलें नहीं लिखता, DB परिवर्तन कुछ संदर्भों में बाद में कोड निष्पादन को सक्षम कर सकते हैं।.
  • साइट में व्यवधान: डेटा का हटाना या भ्रष्टाचार जो आउटेज का कारण बनता है।.

ऐसे कारक जो जोखिम को कम कर सकते हैं उनमें प्रतिबंधात्मक DB विशेषाधिकार, होस्टिंग सुरक्षा, और ऐसे क्वेरी शामिल हैं जो शोषण योग्य आउटपुट नहीं लौटाते—लेकिन ये गारंटी नहीं हैं।.

समझौते के संकेत (IoCs) और जांचने के लिए लॉग

शोषण या प्रयास किए गए शोषण की खोज करते समय निम्नलिखित स्रोतों की जांच करें:

  • वेब सर्वर एक्सेस लॉग: असामान्य अनुरोध आदेश SQL कीवर्ड्स वाले मान (चयन, संघ, --, /*, ;, या 1=1, आदि), और एक ही IP से व्यवस्थापक एंडपॉइंट पर बार-बार हिट।.
  • वर्डप्रेस ऑडिट लॉग: अप्रत्याशित भूमिका परिवर्तन, नए व्यवस्थापक उपयोगकर्ता, या योगदानकर्ताओं द्वारा बनाए गए अप्रत्याशित पोस्ट/पृष्ठ।.
  • डेटाबेस लॉग: सिंटैक्स त्रुटियाँ, लंबे समय तक चलने वाली क्वेरी, या वेब उपयोगकर्ताओं से उत्पन्न असामान्य क्वेरी।.
  • एप्लिकेशन अलर्ट: ORDER BY हेरफेर या SQLi हस्ताक्षर के लिए कोई भी WAF या IDS/IPS अलर्ट।.
  • फ़ाइल प्रणाली निगरानी: wp-content/plugins या थीम में नए या संशोधित PHP फ़ाइलें, अप्रत्याशित फ़ाइल टाइमस्टैम्प।.

प्रतिक्रिया के दौरान स्वामित्व की श्रृंखला बनाए रखने के लिए जहां संभव हो, लॉग और सबूतों को केवल पढ़ने के रूप में संरक्षित करें।.

तत्काल कार्रवाई जो आपको करनी चाहिए (0–24 घंटे)

  1. योगदानकर्ता खातों को प्रतिबंधित करें: अस्थायी रूप से क्षमताओं को कम करें या अविश्वसनीय योगदानकर्ता खातों को निष्क्रिय करें। उन उपयोगकर्ताओं को हटा दें जिन्हें आप पहचानते नहीं हैं।.
  2. प्लगइन को निष्क्रिय करें: यदि प्लगइन अनिवार्य नहीं है, तो इसे तब तक निष्क्रिय करें जब तक कि एक समाधान उपलब्ध न हो। यदि यह अनिवार्य है, तो नीचे दिए गए शमन के साथ आगे बढ़ें।.
  3. WAF/एज फ़िल्टर लागू करें: वेब परत पर, संदिग्ध मानों को ब्लॉक या साफ करें। आदेश जहां संभव हो, व्हाइटलिस्ट लागू करें।.
  4. व्यवस्थापक गतिविधि का ऑडिट करें: नए व्यवस्थापक खातों, भूमिका परिवर्तनों, या योगदानकर्ताओं द्वारा बनाए गए संदिग्ध सामग्री की जांच करें। यदि आप समझौते के संकेत पाते हैं तो उच्च-विशिष्टता क्रेडेंशियल्स को घुमाएँ।.
  5. बैकअप: आगे के परिवर्तनों या जांचों से पहले साइट फ़ाइलों और डेटाबेस का ऑफ़लाइन बैकअप बनाएं।.

अल्पकालिक शमन (1–7 दिन)

  • सर्वर-स्तरीय अनुरोध फ़िल्टरिंग: संदिग्ध पेलोड के साथ अनुरोधों को छोड़ने के लिए ModSecurity या होस्ट अनुरोध फ़िल्टर का उपयोग करें। आदेश जहां व्यावहारिक हो, आईपी द्वारा व्यवस्थापक अंत बिंदुओं तक पहुंच को प्रतिबंधित करें।.
  • अनुमत क्रम मानों की व्हाइटलिस्ट: केवल पूर्वनिर्धारित कॉलम नामों और दिशाओं की सूची को स्वीकार करने के लिए कोड को कॉन्फ़िगर या पैच करें।.
  • उपयोगकर्ता भूमिकाओं को मजबूत करें: योगदानकर्ता खातों को न्यूनतम आवश्यक भूमिका में परिवर्तित करें और सामग्री सबमिशन के लिए अनुमोदन कार्यप्रवाह अपनाएं।.
  • मजबूत प्रमाणीकरण लागू करें: सभी उच्च स्तर के खातों के लिए मजबूत पासवर्ड और बहु-कारक प्रमाणीकरण।.
  • लॉग की निगरानी करें: दोहराए गए पैरामीटर विसंगतियों, DB त्रुटियों में स्पाइक्स, या भूमिका परिवर्तनों के लिए अलर्ट बनाएं।.
  • प्लगइन लेखक के साथ समन्वय करें: आधिकारिक पैच के लिए विक्रेता चैनलों पर नज़र रखें और उत्पादन से पहले स्टेजिंग पर किसी भी अपडेट का परीक्षण करें।.

डेवलपर्स और रखरखाव करने वालों के लिए, इस पूरी श्रेणी की कमजोरियों को रोकने के लिए इन रक्षात्मक कोडिंग पैटर्न को लागू करें:

  1. ORDER BY मानों को व्हाइटलिस्ट करें: केवल ज्ञात सॉर्टेबल कॉलम नाम और सटीक दिशाओं को स्वीकार करें (आरोही, अवरोही).
  2. कच्चे इनपुट को SQL में इंटरपोलेट न करें: डेटा मानों के लिए तैयार किए गए बयानों का उपयोग करें और कॉलम पहचानकर्ताओं के लिए स्पष्ट व्हाइटलिस्टिंग करें।.
  3. इनपुट को सामान्यीकृत करें: सभी आने वाले पैरामीटर के लिए प्रकार, लंबाई सीमाएँ और regex मान्यता लागू करें।.
  4. DB अमूर्तियों का सही ढंग से उपयोग करें: जब उपयोग कर रहे हों $wpdb, उपयोग से पहले पहचानकर्ताओं को मान्य करें; प्लेसहोल्डर कॉलम नामों के लिए उपयोग नहीं किए जा सकते।.
  5. स्वचालित परीक्षण: Sorting और query निर्माण को कवर करने के लिए यूनिट और फज़ परीक्षण जोड़ें जिसमें दुर्भावनापूर्ण इनपुट शामिल हैं।.
  6. न्यूनतम विशेषाधिकार: जब संभव हो, न्यूनतम विशेषाधिकारों के साथ डेटाबेस खातों का उपयोग करें।.

WAF कैसे मदद करता है (कौन से नियम लागू करें)

एक सही ढंग से ट्यून किया गया वेब एप्लिकेशन फ़ायरवॉल (WAF) उस समय जोखिम को कम कर सकता है जब विक्रेता पैच तैयार किया जा रहा हो। लागू नियम प्रकार:

  1. पैरामीटर प्रकार प्रवर्तन: अवरुद्ध करें आदेश मान जो SQL मेटाचरैक्टर्स को शामिल करते हैं (;, --, /*, संघ, चयन, लोड_फाइल, आदि)। केवल अल्फ़ान्यूमेरिक, अंडरस्कोर, डॉट वर्ण और शब्दों की अनुमति दें आरोही/अवरोही दिशा के लिए।.
  2. ज्ञात मानों की श्वेतसूची: जहाँ संभव हो, स्वीकार्य आदेश मानों को ज्ञात कॉलमों से मैप करें और बाकी सब कुछ अस्वीकार करें।.
  3. SQLi पैटर्न को ब्लॉक करें: सामान्य SQLi तकनीकों के लिए सिग्नेचर नियम (समय-आधारित, बूलियन-आधारित, यूनियन, स्टैक्ड क्वेरी)।.
  4. व्यवहारिक नियम: एक ही IP से प्रशासनिक एंडपॉइंट्स के खिलाफ दोहराए गए प्रयासों की दर-सीमा निर्धारित करें; असामान्य उपयोगकर्ता-एजेंट्स को चिह्नित करें।.
  5. संदर्भात्मक जांच: प्रमाणित उपयोगकर्ताओं के लिए उनकी सामान्य कार्यप्रवाहों के बाहर क्रियाएँ करने पर जांच बढ़ाएँ (जैसे, योगदानकर्ता प्रशासन-सूची एंडपॉइंट्स तक पहुँच)।.
  6. लॉग और अलर्ट: सुनिश्चित करें कि सभी ब्लॉकों को लॉग किया गया है और फॉलो-अप जांच के लिए अलर्ट उत्पन्न करें।.

नोट: अत्यधिक व्यापक ब्लॉकिंग वैध कार्यक्षमता को तोड़ सकती है। पूर्ण ब्लॉकिंग से पहले नियमों का परीक्षण करें और झूठे सकारात्मक के लिए निगरानी करें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आपको उल्लंघन का संदेह है)

  1. अलग करें: साइट पहुँच को प्रतिबंधित करें (रखरखाव पृष्ठ प्रदर्शित करें) या साइट को फ़ायरवॉल करें ताकि आगे की गतिविधि को रोका जा सके।.
  2. सबूत को संरक्षित करें: लॉग, डेटाबेस डंप और फ़ाइल स्नैपशॉट को केवल पढ़ने के रूप में कैप्चर करें।.
  3. दायरा पुष्टि करें: उन खातों की पहचान करें जिन्होंने संवेदनशील कोड पथों को सक्रिय किया। नए प्रशासनिक उपयोगकर्ताओं और भूमिका परिवर्तनों की खोज करें। संदिग्ध प्रविष्टियों का निरीक्षण करें 11. संदिग्ध सामग्री के साथ।, 9. wp_usermeta, और wp_posts.
  4. शामिल करें: प्लगइन को निष्क्रिय करें या किनारे पर संवेदनशील एंडपॉइंट्स को ब्लॉक करें। सभी प्रशासनिक क्रेडेंशियल्स को घुमाएँ और नमक/की को अपडेट करके सत्रों को अमान्य करें wp-config.php.
  5. साफ करें: यदि संभव हो तो दुर्भावनापूर्ण DB परिवर्तनों को पूर्ववत करें। संदिग्ध फ़ाइलों को हटा दें और स्वच्छ बैकअप के खिलाफ फ़ाइल की अखंडता की पुष्टि करें।.
  6. पुनर्प्राप्त करें: यदि अखंडता पर संदेह है तो एक विश्वसनीय बैकअप से पुनर्स्थापित करें। पूर्ण स्कैन और मैनुअल कोड समीक्षाएँ फिर से चलाएँ।.
  7. रिपोर्ट करें और सीखें: आवश्यकतानुसार हितधारकों को सूचित करें और भविष्य की प्रतिक्रिया में सुधार के लिए सीखे गए पाठों को दस्तावेज़ित करें।.

व्यावहारिक कोड हार्डनिंग उदाहरण (सुरक्षित पैटर्न)

सुरक्षित आदेश हैंडलिंग का उदाहरण (अपने प्लगइन के लिए कॉलम नाम/संदर्भ को अनुकूलित करें):

<?php

मुख्य बिंदु: केवल अपेक्षित पहचानकर्ता मानों की अनुमति दें; उपयोग करें $wpdb->prepare बंधित डेटा मानों के लिए; सभी इनपुट को मान्य और सामान्य करें।.

निगरानी और पहचान सिफारिशें

  • वेब सर्वर और एप्लिकेशन लॉग को कम से कम 90 दिनों के लिए बनाए रखें। लॉग में संदिग्ध अनुरोधों का सहसंबंध करें।.
  • असामान्य DB क्वेरी पैटर्न और प्रशासनिक अंत बिंदुओं से जुड़े दोहराए गए त्रुटियों को चिह्नित करने के लिए विसंगति पहचान को कॉन्फ़िगर करें।.
  • अप्रत्याशित PHP फ़ाइल परिवर्तनों का पता लगाने के लिए फ़ाइल अखंडता निगरानी का उपयोग करें।.
  • नियमित रूप से उपयोगकर्ता भूमिकाओं और सक्रिय प्लगइनों का ऑडिट करें; योगदानकर्ता या उच्च भूमिकाओं वाले उपयोगकर्ताओं की संख्या को न्यूनतम करें।.

अंतिम नोट्स और जिम्मेदार प्रकटीकरण

SQL इंजेक्शन एक उच्च-प्रभाव वाली भेद्यता वर्ग बना हुआ है। यहाँ विशिष्ट वेक्टर—योगदानकर्ता खातों द्वारा एक आदेश पैरामीटर में हेरफेर—यह प्रदर्शित करता है कि कैसे निम्न-विशेषाधिकार भूमिकाओं का उपयोग किया जा सकता है यदि प्लगइन कोड अनुमति देने वाला है।.

तात्कालिक प्राथमिकताएँ:

  1. सूची: जांचें कि क्या iATS ऑनलाइन फ़ॉर्म स्थापित है और कौन सा संस्करण सक्रिय है।.
  2. शामिल करें: यदि आप साइट को जल्दी सुरक्षित नहीं कर सकते हैं तो योगदानकर्ता क्षमताओं को सीमित करें या प्लगइन को निष्क्रिय करें।.
  3. सुरक्षा करें: WAF सुरक्षा को सक्रिय करें और क्रमबद्ध पैरामीटर के लिए सख्त नियम लागू करें। जहां संभव हो, व्हाइटलिस्ट का उपयोग करें।.
  4. निगरानी करें: संदिग्ध संकेतों के लिए लॉग, उपयोगकर्ता भूमिकाओं और DB गतिविधियों का ऑडिट करें।.

डेवलपर्स को ऊपर दिखाए गए व्हाइटलिस्टिंग और सामान्यीकरण पैटर्न को अपनाना चाहिए। साइट के मालिकों को योगदानकर्ता खातों को संभावित रूप से अविश्वसनीय मानना चाहिए और संवेदनशील प्लगइन कार्यक्षमता तक उनके पहुंच पथ को प्रतिबंधित करना चाहिए।.

यदि आप चाहें, तो यह लेखक एक संक्षिप्त सुधार चेकलिस्ट तैयार कर सकता है जो संचालन रनबुक में शामिल करने के लिए उपयुक्त हो या CVE-2025-9441 के लिए WAF नियमों और पहचान तर्क को मान्य करने में सहायता कर सकता है। संपर्क विवरण और संलग्नक आपकी सामान्य सुरक्षा खरीद और जांच प्रक्रियाओं का पालन करना चाहिए।.

प्रकटीकरण नोट: यह पोस्ट CVE-2025-9441 के लिए सार्वजनिक तकनीकी जानकारी और रक्षात्मक मार्गदर्शन का सारांश प्रस्तुत करती है। उत्पादन में लागू करने से पहले हमेशा एक स्टेजिंग वातावरण में शमन का परीक्षण करें।.


0 शेयर:
साझा करें 0
ट्वीट 0
इसे पिन करें 0

— पिछला लेख

सुरक्षा चेतावनी संबंधित पोस्ट लाइट CSRF भेद्यता (CVE20259618)

अगला लेख —

हांगकांग सुरक्षा सलाह Slider Revolution भेद्यता (CVE20259217)

आपको यह भी पसंद आ सकता है