तत्काल: सत्र प्लगइन (≤ 3.2.0) — क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE‑2025‑57890)

सुरक्षा सलाह और प्रतिक्रिया गाइड

प्रकाशित: 22 अगस्त 2025
CVE: CVE‑2025‑57890
प्रभावित प्लगइन: सत्र (वर्डप्रेस प्लगइन) — संस्करण ≤ 3.2.0
में ठीक किया गया: 3.2.1
पैच प्राथमिकता: कम (CVSS 5.9)
शोषण के लिए आवश्यक विशेषाधिकार: व्यवस्थापक

सारांश

• एक संग्रहीत/प्रतिबिंबित क्रॉस-साइट स्क्रिप्टिंग (XSS) समस्या जो सत्र प्लगइन के संस्करण 3.2.0 तक और शामिल है, का खुलासा किया गया और CVE‑2025‑57890 के तहत ट्रैक किया गया।.
• यह भेद्यता एक प्रमाणित व्यवस्थापक को प्लगइन डेटा में अस्वच्छ HTML/JavaScript इंजेक्ट करने की अनुमति देती है, जो बाद में वर्डप्रेस प्रशासन में या उन पृष्ठों पर प्रदर्शित होती है जहाँ वह डेटा दिखाया जाता है, जिससे पेलोड किसी अन्य व्यवस्थापक या आगंतुक के ब्राउज़र में निष्पादित होता है, संदर्भ के आधार पर।.
• विक्रेता ने संस्करण 3.2.1 में समस्या को ठीक किया। व्यवस्थापकों को तुरंत अपडेट करना चाहिए। जहां तत्काल अपडेट करना संभव नहीं है, इस गाइड में आभासी पैचिंग और हार्डनिंग कदम प्रदान किए गए हैं।.

यह सलाह हांगकांग के सुरक्षा विशेषज्ञों द्वारा साइट के मालिकों, डेवलपर्स और घटना प्रतिक्रियाकर्ताओं के लिए व्यावहारिक मार्गदर्शन के साथ तैयार की गई है। इसमें तकनीकी संदर्भ, अल्पकालिक शमन, उदाहरण आभासी-पैच नियम, पहचान और सुधार प्लेबुक, और पुनरावृत्ति को रोकने के लिए डेवलपर सिफारिशें शामिल हैं।.

यह क्यों महत्वपूर्ण है (साधारण व्याख्या)

क्रॉस-साइट स्क्रिप्टिंग एक सामान्य रूप से दुरुपयोग की जाने वाली भेद्यता है और इसे गंभीरता से लिया जाना चाहिए। यहां तक कि “कम” के रूप में लेबल किया गया XSS भी एक हमलावर को सक्षम कर सकता है:

• किसी अन्य उपयोगकर्ता के ब्राउज़र में मनमाना JavaScript चलाना (सत्र चोरी, व्यवस्थापक-क्रिया धोखाधड़ी)।.
• व्यापक प्रभाव के लिए दुर्भावनापूर्ण सामग्री को बनाए रखना (साइट विकृति, दुर्भावनापूर्ण रीडायरेक्ट, क्रिप्टोमाइनिंग, ड्राइव-बाय डाउनलोड)।.
• व्यवस्थापकों को लक्षित करना ताकि यदि क्रेडेंशियल या नॉनस को इंटरसेप्ट या अन्य दोषों के साथ मिलाया जाए तो पूर्ण साइट अधिग्रहण प्राप्त किया जा सके।.

हालांकि शोषण के लिए एक व्यवस्थापक खाते की आवश्यकता होती है ताकि पेलोड्स को इंजेक्ट किया जा सके, यह आवश्यकता समस्या को हानिरहित नहीं बनाती है। व्यवस्थापक खातों को फ़िशिंग, क्रेडेंशियल पुन: उपयोग, सामाजिक इंजीनियरिंग, या अन्य कमजोरियों के माध्यम से समझौता किया जा सकता है; किसी भी व्यवस्थापक खाते तक पहुंच जोखिम को बढ़ाती है।.

तकनीकी सारांश (जो हम जानते हैं)

• प्रकार: क्रॉस-साइट स्क्रिप्टिंग (XSS)। वर्गीकरण: इंजेक्शन (OWASP A3)।.
• वेक्टर: एक सत्र प्लगइन द्वारा नियंत्रित फ़ील्ड (व्यवस्थापक UI / सत्र मेटाडेटा) में प्रदान किया गया इनपुट आउटपुट से पहले उचित रूप से साफ़/एस्केप नहीं किया गया था। मूल कारण आउटपुट-कोडिंग की कमी है; प्लगइन पैच प्रभावित फ़ील्ड के लिए आउटपुट एस्केपिंग को सही करता है।.
• विशेषाधिकार: साइट पर व्यवस्थापक (इंजेक्शन के लिए उच्च विशेषाधिकार की आवश्यकता)। पेलोड उस उपयोगकर्ता के संदर्भ में निष्पादित होता है जो प्रभावित UI या पृष्ठ पर जाता है जो अस्वच्छ सामग्री प्रदर्शित करता है।.
• प्रभाव: पीड़ित ब्राउज़र में स्क्रिप्ट निष्पादन; सत्र टोकन चोरी, खाता हेरफेर, या पीड़ित के विशेषाधिकार के साथ किए गए कार्यों की संभावना।.
• CVSS स्कोर: 5.9 (मध्यम/निम्न-मध्यम गंभीरता, आवश्यक विशेषाधिकार और प्रभाव की संभाव्यता को दर्शाता है)।.
• समाधान: प्लगइन को 3.2.1 (या बाद में) अपडेट करें, जिसमें सफाई/एस्केपिंग और सुरक्षित आउटपुट हैंडलिंग शामिल है।.

साइट मालिकों के लिए तात्कालिक कदम (अगले घंटे)

1. तुरंत प्लगइन को 3.2.1 (या बाद में) अपडेट करें - यह सबसे महत्वपूर्ण कार्रवाई है।.
2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो व्यवस्थापक पहुंच को सीमित करें: अस्थायी रूप से व्यवस्थापक लॉगिन को विश्वसनीय IPs तक सीमित करें, व्यवस्थापक भूमिका वाले उपयोगकर्ताओं की संख्या को कम करें, सभी व्यवस्थापक खातों के लिए मजबूत पासवर्ड और 2-कारक प्रमाणीकरण (2FA) लागू करें।.
3. हाल ही में बनाए गए/संशोधित सत्र प्रविष्टियों या प्लगइन सेटिंग्स की समीक्षा करें संदिग्ध HTML/JS टुकड़ों के लिए - कुछ भी हटा दें जो इंजेक्टेड पेलोड जैसा दिखता है।.
4. व्यवस्थापक इंटरफेस को मजबूत करें - जहां उपलब्ध हो, लॉगिन पर CAPTCHA सक्षम करें, और अपने होस्ट या नेटवर्क फ़ायरवॉल के माध्यम से wp-admin को IPs के एक छोटे सेट तक सीमित करने पर विचार करें।.
5. साइट को एक प्रतिष्ठित मैलवेयर स्कैनर के साथ स्कैन करें और साइट के पृष्ठों या व्यवस्थापक स्क्रीन में जोड़े गए स्क्रिप्ट या अपरिचित जावास्क्रिप्ट की खोज करें।.

नोट: अपडेट करना सर्वोच्च प्राथमिकता बनी हुई है। यदि आप कई साइटों का प्रबंधन करते हैं, तो सार्वजनिक-फेसिंग या उच्च-ट्रैफ़िक इंस्टॉलेशन को प्राथमिकता दें।.

पहचान और शिकार (कैसे पता करें कि क्या आप लक्षित थे)

• संदिग्ध स्ट्रिंग्स के लिए डेटाबेस रिकॉर्ड और प्लगइन तालिकाओं/विकल्पों की खोज करें: “<script”, “javascript:”, “onerror=”, “onload=”, “document.cookie”, या बेस64-कोडित / URL-कोडित पेलोड टुकड़ों की घटनाएँ सत्र प्लगइन तालिकाओं या विकल्प प्रविष्टियों में।.
• सत्र प्लगइन द्वारा प्रस्तुत व्यवस्थापक पृष्ठों और संबंधित प्रबंधन स्क्रीन की जांच करें अप्रत्याशित बैनर, इंजेक्टेड HTML या अपरिचित फ़ील्ड के लिए।.
• हाल की व्यवस्थापक गतिविधि की समीक्षा करें: लॉगिन, भूमिका परिवर्तन, प्लगइन सेटिंग संपादन। संदिग्ध सामग्री के साथ एक ही समय के आसपास बनाए गए/संशोधित व्यवस्थापक खातों की तलाश करें।.
• वेब लॉग: उन व्यवस्थापक एंडपॉइंट्स के लिए POST अनुरोधों की तलाश करें जिनमें जावास्क्रिप्ट या कोडित पेलोड शामिल थे; उन 200 प्रतिक्रियाओं की तलाश करें जहां POSTs उस सामग्री की ओर ले जाते हैं जो बाद में व्यवस्थापक पृष्ठों के लिए GET अनुरोधों में दिखाई देती है।.
• प्रशासकों के ब्राउज़र लॉग: कंसोल त्रुटियों या बाहरी बुनियादी ढांचे के लिए नेटवर्क कॉल की जांच करें जो एक दुर्भावनापूर्ण पेलोड द्वारा डेटा निकासी का सुझाव देते हैं।.
• यदि आप एक एप्लिकेशन-स्तरीय निगरानी समाधान का उपयोग करते हैं, तो इंजेक्टेड सामग्री के साथ असामान्य प्रशासक पृष्ठ रेंडर के लिए खोजें।.

जब अपडेट करना संभव न हो, तब अल्पकालिक शमन।

यदि आप तुरंत पैच नहीं कर सकते हैं, तो निम्नलिखित शमन में से एक या अधिक लागू करने पर विचार करें:

1. वर्चुअल पैच / WAF नियम

प्लगइन के प्रशासक एंडपॉइंट्स और उन पृष्ठों पर XSS पेलोड को ब्लॉक करने के लिए एक एप्लिकेशन फ़ायरवॉल नियम लागू करें जहां सत्र डेटा प्रदर्शित होता है। गलत सकारात्मक से बचने के लिए पहले स्टेजिंग में नियमों का परीक्षण करें।.

2. हमले की सतह को कम करें

• यदि यह गैर-आवश्यक है, तो अस्थायी रूप से सत्र प्लगइन को हटा दें या निष्क्रिय करें। यदि हटाना संभव नहीं है, तो ऐसे प्लगइन सुविधाओं को निष्क्रिय करें जो मनमाने प्रशासक सामग्री को प्रदर्शित करती हैं।.
• प्रशासक भूमिका को न्यूनतम खातों के सेट तक सीमित करें और गैर-प्रमाणित उपयोगकर्ताओं के लिए प्रशासक निर्माण को ब्लॉक करें।.
• सभी प्रशासकों के लिए 2FA सक्षम करें, सभी प्रशासक पासवर्ड को घुमाएं, और अद्वितीय क्रेडेंशियल सुनिश्चित करें।.

3. निगरानी और सूचित करें

• प्रशासक गतिविधि और फ़ाइल संशोधनों की निगरानी करें। संदिग्ध परिवर्तनों पर अलर्ट करें।.
• यदि आप समझौते के संकेतों का पता लगाते हैं, तो इसे एक घटना के रूप में मानें: अलग करें, स्नैपशॉट लें, और सुधार शुरू करें।.

सुझाए गए WAF / वर्चुअल पैच नियम (उदाहरण)

नीचे वे रक्षात्मक नियम उदाहरण दिए गए हैं जो प्रशासकों या होस्टिंग प्रदाताओं के लिए हैं जो वेब एप्लिकेशन फ़ायरवॉल स्तर पर नियम लागू कर सकते हैं। तैनाती से पहले सावधानी से परीक्षण और ट्यून करें।.

सामान्य ModSecurity नियम (उदाहरण)

SecRule REQUEST_URI "@beginsWith /wp-admin" "phase:2,id:1009001,deny,log,status:403,msg:'Block potential XSS in admin POST',chain"

नोट्स:

• यदि ज्ञात हो, तो विशिष्ट प्लगइन एंडपॉइंट्स को लक्षित करने के लिए REQUEST_URI को समायोजित करें।.
• जहां पेलोड को एन्कोड किया गया है, वहां t:base64,t:urlDecodeMultiple का उपयोग करें।.

Nginx + Lua (छद्म-नियम)

व्यवस्थापक POSTs को अवरुद्ध करें और एक हल्का पैटर्न जांच चलाएँ; मेल खाने पर 403 लौटाएँ। सावधानी से उपयोग करें और वैध प्लगइन कार्यक्षमता के खिलाफ मान्य करें।.

अवरुद्ध करने के लिए पैटर्न (प्राथमिकता के अनुसार)

• POST डेटा में कच्चे HTML टैग: "<script", "<img", "<svg/on", "<iframe"।.
• इनलाइन इवेंट हैंडलर: "onerror=", "onload=", "onmouseover="।.
• जावास्क्रिप्ट URI स्कीम: "javascript:" इनपुट फ़ील्ड में।.
• सामान्य एक्सफिल शर्तें: "document.cookie", "localStorage", "window.location", "eval(", "new Function("।.

ट्यूनिंग और झूठे सकारात्मक नियंत्रण

• विशिष्ट व्यवस्थापक उपयोगकर्ताओं को श्वेतसूची में डालें या ज्ञात सुरक्षित संचालन प्रवाह के लिए एक बाईपास कुंजी की अनुमति दें।.
• अवरुद्ध अनुरोधों को लॉग करें और मॉनिटर करें, सीधे अस्वीकृत करने से पहले व्यवधान से बचने के लिए।.
• साइट-व्यापी के बजाय केवल प्लगइन के विशिष्ट एंडपॉइंट्स के लिए अवरुद्ध करना पसंद करें।.

यदि आपका होस्ट या प्रबंधित सेवा अनुप्रयोग नियम लागू कर सकता है, तो उनसे लक्षित आभासी पैच लागू करने के लिए कहें जबकि आप अपडेट करते हैं।.

डेवलपर मार्गदर्शन (यह कैसे ठीक किया जाना चाहिए था)

यदि आप प्लगइन बनाए रखते हैं या समान सुविधाएँ बनाते हैं, तो इन सिद्धांतों का पालन करें:

• आउटपुट एन्कोडिंग: कभी भी अविश्वसनीय डेटा को सीधे HTML में आउटपुट न करें। उचित वर्डप्रेस एस्केपिंग फ़ंक्शन का उपयोग करें जैसे esc_html(), esc_attr(), और wp_kses() सीमित HTML के लिए। आउटपुट संदर्भ (HTML, विशेषता, JS, URL) के आधार पर एस्केपिंग चुनें।.
• इनपुट मान्यता: प्राप्ति पर इनपुट को मान्य और सामान्य करें। उन फ़ील्ड को अस्वीकार करें या स्वच्छ करें जो HTML शामिल करने की अपेक्षा नहीं की जाती हैं।.
• क्षमता जांच: सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ता डेटा प्रस्तुत या संशोधित कर सकते हैं जो बाद में प्रस्तुत किया जाएगा। उपयोग करें current_user_can() और नॉनसेस सत्यापन के लिए।.
• वर्डप्रेस एपीआई का उपयोग करें: केवल सुरक्षित डेटा संग्रहीत करें; यदि व्यवस्थापक द्वारा दर्ज की गई सामग्री की अनुमति है, तो मजबूत सफाई और स्पष्ट अनुमति सूचियाँ का उपयोग करें (उदाहरण के लिए, wp_kses छोटे अनुमत टैग सेट के साथ)।.
• नॉनस सत्यापन और CSRF सुरक्षा: फ़ॉर्म एंडपॉइंट्स की सुरक्षा करें wp_nonce_field 8. और wp_verify_nonce.
• गहराई में रक्षा: सर्वर-साइड सफाई को सामग्री सुरक्षा नीति (CSP) हेडर और मजबूत पहुंच नियंत्रण के साथ मिलाएं।.

यदि आपको समझौता होने का संदेह है - घटना प्रतिक्रिया चेकलिस्ट

1. सीमित करें
   • यदि सक्रिय शोषण का पता लगाया जाता है तो अस्थायी रूप से प्लगइन को निष्क्रिय करें या साइट को ऑफ़लाइन ले जाएं।.
   • व्यवस्थापक पासवर्ड बदलें और सभी व्यवस्थापक सत्रों से लॉगआउट करने के लिए मजबूर करें।.
2. संरक्षित करें
   • फोरेंसिक विश्लेषण के लिए साइट का पूरा स्नैपशॉट/बैकअप लें (फाइलें + DB)।.
   • लॉग एकत्र करें (वेब सर्वर, PHP, रिवर्स प्रॉक्सी, WAF) और उन्हें सर्वर से बाहर रखें।.
3. पहचानें
   • इंजेक्टेड स्क्रिप्ट और थीम, प्लगइन्स, अपलोड और मु-प्लगइन्स में असामान्य संशोधनों के लिए खोजें।.
   • इंजेक्टेड HTML/JS के लिए डेटाबेस तालिकाओं की जांच करें: विकल्प, पोस्टमेटा, उपयोगकर्ता मेटा, प्लगइन तालिकाएँ।.
4. समाप्त करें
   • इंजेक्टेड सामग्री को हटा दें और ज्ञात स्वच्छ बैकअप से बदले गए फ़ाइलों को पुनर्स्थापित करें या स्वच्छ प्लगइन/थीम प्रतियों के साथ बदलें।.
   • सभी सॉफ़्टवेयर को अपडेट करें - वर्डप्रेस कोर, प्लगइन्स, थीम, और प्लेटफ़ॉर्म पैकेज।.
5. पुनर्प्राप्त करें
   • सेवाओं को पुनर्स्थापित करें और पुनरावृत्ति के लिए निगरानी करें। किसी भी उजागर हुए रहस्यों को घुमाएँ (API कुंजी, टोकन)।.
6. सीखें
   • मूल कारण और हार्डनिंग कदमों की समीक्षा करें; निर्धारित करें कि व्यवस्थापक खाता (यदि कोई हो) कैसे समझौता किया गया, और सुरक्षा नियंत्रण लागू करें (2FA, SSO, न्यूनतम विशेषाधिकार, पासवर्ड नीति)।.

यदि आप फोरेंसिक्स या सुधार करने में आत्मविश्वास नहीं रखते हैं, तो योग्य उत्तरदाताओं या अपने होस्टिंग प्रदाता से पेशेवर घटना प्रतिक्रिया सहायता प्राप्त करें।.

दीर्घकालिक हार्डनिंग सिफारिशें

• न्यूनतम विशेषाधिकार का सिद्धांत: प्रशासकों की संख्या को कम करें और जहाँ संभव हो ग्रैन्युलर भूमिकाओं का उपयोग करें।.
• 2-फैक्टर प्रमाणीकरण: सभी व्यवस्थापक खातों के लिए 2FA को अनिवार्य बनाएं।.
• प्रबंधित पहुंच: wp-admin के लिए IP अनुमति सूचियों का उपयोग करें या व्यवस्थापक अंत बिंदुओं को ढालने के लिए एक एक्सेस प्रॉक्सी का उपयोग करें।.
• स्वचालित अपडेट: जहाँ उपयुक्त हो, छोटे और प्लगइन पैच के लिए सुरक्षित स्वचालित अपडेट सक्षम करें; महत्वपूर्ण साइटों के लिए एक चरणबद्ध अपडेट पाइपलाइन का उपयोग करें।.
• बैकअप और पुनर्प्राप्ति: नियमित, परीक्षण किए गए बैकअप और एक घटना प्लेबुक रखें।.
• निगरानी और लॉगिंग: व्यवस्थापक गतिविधि, फ़ाइल परिवर्तनों, और वेब अनुरोधों के दीर्घकालिक लॉग बनाए रखें।.

हितधारकों के साथ संवाद करना - नमूना संदेश

विषय: सुरक्षा सलाह - सत्र प्लगइन XSS (CVE-2025-57890) - कार्रवाई की आवश्यकता

संदेश शरीर (संक्षिप्त):

हमने सत्र प्लगइन संस्करण ≤ 3.2.0 को प्रभावित करने वाली क्रॉस-साइट स्क्रिप्टिंग भेद्यता की पहचान की है। विक्रेता ने संस्करण 3.2.1 में एक सुधार जारी किया। इस मुद्दे के लिए एक व्यवस्थापक खाते की आवश्यकता होती है ताकि पेलोड इंजेक्ट किया जा सके लेकिन यह खाता अधिग्रहण या साइट समझौता कर सकता है। हम प्रभावित साइटों को तुरंत 3.2.1 में अपडेट कर रहे हैं, व्यवस्थापक खातों की समीक्षा कर रहे हैं, और जहाँ आवश्यक हो अतिरिक्त सुरक्षा नियम लागू कर रहे हैं। कृपया व्यवस्थापक पासवर्ड बदलें और यदि पहले से सक्षम नहीं है तो 2FA सक्षम करें।.

इस भेद्यता को “कम” पैच प्राथमिकता क्यों दी गई है, और आपको अभी भी कार्रवाई क्यों करनी चाहिए

CVSS और पैच प्राथमिकता इंजेक्शन के लिए आवश्यक उच्च विशेषाधिकार और प्रमाणीकरण रहित RCE या SQL इंजेक्शन की तुलना में सीमित एक्सपोजर को दर्शाती है। हालाँकि, वास्तविक-विश्व वर्डप्रेस वातावरण अक्सर फ़िशिंग, क्रेडेंशियल पुन: उपयोग, या समझौता किए गए डेवलपर सिस्टम के माध्यम से व्यवस्थापक खातों को उजागर करते हैं। कम प्राथमिकता वाले मुद्दों की एक श्रृंखला उच्च प्रभाव वाले समझौते में मिल सकती है - इसलिए यहां तक कि “कम” भेद्यताएँ त्वरित कार्रवाई की पात्र होती हैं।.

विशेषज्ञ दृष्टिकोण

एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से: तुरंत और व्यावहारिक रूप से कार्य करें। पहले अपडेट करें, फिर परतदार नियंत्रण लागू करें (पहुँच प्रतिबंध, 2FA, लॉगिंग, और लक्षित WAF नियम)। एक परीक्षण किया हुआ घटना प्लेबुक बनाए रखें - जांच में गति और साक्ष्य संरक्षण महत्वपूर्ण हैं।.

परिशिष्ट A — टिप्पणियों के साथ उदाहरण ModSecurity नियम

यह सरल नियम प्रशासनिक पृष्ठों के लिए अनुरोध निकायों में स्पष्ट XSS संकेतकों को अवरुद्ध करता है। केवल एक प्रारंभिक बिंदु के रूप में उपयोग करें।.

# चरण: अनुरोध निकाय निरीक्षण"

महत्वपूर्ण: झूठे सकारात्मक से बचने के लिए नियम को समायोजित करें; पहले लॉग करें (क्रिया:pass,log) और अस्वीकृति पर स्विच करने से पहले समीक्षा करें।.

परिशिष्ट B — सुरक्षित रिलीज़ भेजने के लिए डेवलपर चेकलिस्ट

• CI में आउटपुट एन्कोडिंग परीक्षण जोड़ें जो सुनिश्चित करते हैं कि प्लगइन्स प्रशासनिक क्षेत्रों के लिए एस्केप्ड आउटपुट प्रस्तुत करते हैं।.
• सफाई कार्यों (wp_kses, esc_html, esc_attr) के लिए यूनिट परीक्षण जोड़ें।.
• इनपुट/आउटपुट संदर्भों और क्षमता जांचों पर केंद्रित कोड समीक्षाओं का उपयोग करें।.
• रिलीज़ पर सुरक्षा स्कैनिंग सक्षम करें (SAST/DAST) और शोधकर्ताओं के लिए एक प्रकटीकरण कार्यक्रम पर विचार करें।.

सुरक्षा विशेषज्ञ से अंतिम नोट्स

• अब अपडेट करें: सबसे सीधा, विश्वसनीय समाधान Sessions प्लगइन 3.2.1 या बाद में अपडेट करना है। अन्य उपाय अपडेट करते समय शमन हैं।.
• एकल नियंत्रण पर निर्भर न रहें: प्लगइन अपडेट, पहुँच सख्ती (2FA, मजबूत पासवर्ड), लक्षित WAF नियम, और निरंतर पहचान को मिलाएं।.
• यदि आपको WAF नियम लागू करने, लॉग की समीक्षा करने, या घटना जांच करने में सहायता की आवश्यकता है, तो योग्य सुरक्षा उत्तरदाताओं या विश्वसनीय होस्टिंग समर्थन से तुरंत संपर्क करें।.

सतर्क रहें।.