तत्काल: ग्रैविटीWP — मर्ज टैग (<= 1.4.4) स्थानीय फ़ाइल समावेशन (CVE-2025-49271) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

यह सलाह हांगकांग स्थित वर्डप्रेस सुरक्षा प्रैक्टिशनरों द्वारा लिखी गई है जो दैनिक वास्तविक घटनाओं को संभालते हैं। 8 अगस्त 2025 को ग्रैविटीWP — मर्ज टैग प्लगइन में एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता का खुलासा किया गया (CVE-2025-49271)। यह समस्या प्लगइन संस्करणों को प्रभावित करती है <= 1.4.4 और इसे उच्च (CVSS 7.5) के रूप में रेट किया गया है। एक पैच किया गया रिलीज़ (1.4.5) उपलब्ध है। चूंकि यह भेद्यता बिना प्रमाणीकरण वाले हमलावरों द्वारा आसानी से खोजी और शोषित की जा सकती है, उत्पादन साइटों के लिए तत्काल कार्रवाई की आवश्यकता है।.

कार्यकारी सारांश

• भेद्यता: ग्रैविटीWP — मर्ज टैग प्लगइन में स्थानीय फ़ाइल समावेशन (LFI)
• प्रभावित संस्करण: ≤ 1.4.4
• में ठीक किया गया: 1.4.5
• CVE: CVE-2025-49271
• CVSS: 7.5 (उच्च)
• आवश्यक विशेषाधिकार: कोई नहीं (बिना प्रमाणीकरण)
• प्रभाव: स्थानीय फ़ाइलों का खुलासा (जिसमें wp-config.php और अन्य रहस्य शामिल हैं), वातावरण के आधार पर दूरस्थ कोड निष्पादन के लिए संभावित चेनिंग, यदि क्रेडेंशियल लीक होते हैं तो संभावित डेटाबेस अधिग्रहण
• तत्काल कार्रवाई: प्लगइन को 1.4.5 में अपडेट करें, अस्थायी शमन लागू करें (प्लगइन को अक्षम करें या संवेदनशील एंडपॉइंट को ब्लॉक करें), समझौते के संकेतों के लिए स्कैन करें, यदि समझौता संदिग्ध है तो क्रेडेंशियल्स को घुमाएं

यह क्यों तत्काल है

स्थानीय फ़ाइल समावेशन एक हमलावर को एप्लिकेशन को वेब सर्वर से स्थानीय फ़ाइलों को शामिल करने और प्रकट करने की अनुमति देता है। वर्डप्रेस संदर्भों में, सबसे महत्वपूर्ण फ़ाइलों में wp-config.php (डेटाबेस क्रेडेंशियल), साइट कॉन्फ़िगरेशन फ़ाइलें, और अन्य फ़ाइलें शामिल हैं जो रहस्यों को समाहित कर सकती हैं। चूंकि यह प्लगइन एंडपॉइंट बिना प्रमाणीकरण वाले आगंतुकों के लिए सुलभ है, स्वचालित स्कैनर जल्दी से संवेदनशील साइटों को खोज लेंगे और शोषण करने का प्रयास करेंगे — अक्सर सार्वजनिक खुलासे के घंटों के भीतर।.

समय पर पैचिंग और अस्थायी शमन कम-प्रोफ़ाइल साइटों के लिए भी आवश्यक हैं। स्वचालित अवसरवादी हमले भेदभाव नहीं करते हैं।.

स्थानीय फ़ाइल समावेशन (LFI) क्या है? एक त्वरित परिचय

LFI तब होता है जब एक एप्लिकेशन उपयोगकर्ता इनपुट से फ़ाइल नाम या पथ स्वीकार करता है और इसे उचित सत्यापन के बिना एक शामिल/आवश्यक ऑपरेशन में उपयोग करता है। हमलावर इसे मनमाने फ़ाइलों को पढ़ने के लिए दुरुपयोग कर सकते हैं:

• सापेक्ष यात्रा अनुक्रम (../../../../etc/passwd)
• PHP इनपुट स्ट्रीम (जैसे, php://filter/resource=path)
• wp-content/uploads के तहत फ़ाइलें जो लिखने योग्य हो सकती हैं

एक सफल LFI HTTP प्रतिक्रिया में फ़ाइल सामग्री वापस कर सकता है या अन्य तकनीकों के साथ जोड़ा जा सकता है। WordPress में, wp-config.php को पढ़ना विशेष रूप से खतरनाक है क्योंकि इसमें DB क्रेडेंशियल और सॉल्ट होते हैं।.

इस GravityWP Merge Tags भेद्यता का तकनीकी अवलोकन

मुख्य बिंदु (उच्च स्तर):

• मर्ज टैग से संबंधित एक एंडपॉइंट ने उपयोगकर्ता-नियंत्रित इनपुट को स्वीकार किया जिसका उपयोग एक शामिल पथ बनाने के लिए किया गया।.
• इनपुट मान्यता और पथ सामान्यीकरण अपर्याप्त थे - कोई सख्त व्हाइटलिस्टिंग नहीं - जिससे निर्देशिका यात्रा और स्थानीय फ़ाइल पहुंच सक्षम हो गई।.
• इस फ़ंक्शन को बिना प्रमाणीकरण वाले उपयोगकर्ताओं द्वारा बुलाया जा सकता था (लॉगिन की आवश्यकता नहीं)।.
• एक हमलावर प्लगइन को स्थानीय फ़ाइलों को शामिल करने और आउटपुट करने का कारण बना सकता है, जिससे रहस्य उजागर होते हैं।.

विशेषताएँ:

• बिना प्रमाणीकरण: हाँ
• वेक्टर: एक सार्वजनिक रूप से सुलभ प्लगइन एंडपॉइंट के लिए HTTP अनुरोध
• संभावित प्रभाव: क्रेडेंशियल का खुलासा (DB उपयोगकर्ता/पासवर्ड, सॉल्ट), जानकारी का रिसाव, और आगे के समझौते के लिए संभावित श्रृंखला

ठीक किया गया व्यवहार (1.4.5 में): शामिल संसाधनों के लिए सख्त मान्यता/व्हाइटलिस्टिंग और/या गतिशील शामिल लॉजिक को हटाना; यात्रा और रैपर पहुंच को रोकने के लिए पथ सामान्यीकरण और स्वच्छता में सुधार।.

हमलावरों द्वारा इसका शोषण करने की संभावना

• स्वचालित स्कैनिंग: बॉट्स ज्ञात प्लगइन एंडपॉइंट्स के लिए यात्रा स्ट्रिंग्स या शामिल पैटर्न की जांच करते हैं।.
• सामूहिक शोषण: सार्वजनिक शोषण पैटर्न का उपयोग wp-config.php या कई साइटों पर अन्य संवेदनशील फ़ाइलों को पुनः प्राप्त करने के लिए किया जाता है।.
• पोस्ट-शोषण: यदि क्रेडेंशियल पुनर्प्राप्त किए जाते हैं, तो हमलावर DB से कनेक्ट कर सकते हैं, व्यवस्थापक उपयोगकर्ता बना सकते हैं, दुर्भावनापूर्ण विकल्प इंजेक्ट कर सकते हैं, या डेटा को बाहर निकाल सकते हैं।.

तेज, स्वचालित प्रयासों की अपेक्षा करें। इसे एक सक्रिय उत्पादन जोखिम के रूप में मानें।.

तत्काल कदम (अगले घंटे में क्या करना है)

1. सूची
   • GravityWP — Merge Tags प्लगइन का उपयोग करने वाली साइटों की पहचान करें।.
   • प्रत्येक साइट पर प्लगइन संस्करण की पुष्टि करें। यदि उपस्थित नहीं है, तो आप इस प्लगइन-विशिष्ट कमजोरियों से प्रभावित नहीं हैं।.
2. अपडेट
   • स्टेजिंग और प्रोडक्शन पर तुरंत प्लगइन को संस्करण 1.4.5 में अपडेट करें।.
   • यदि आप तुरंत अपडेट नहीं कर सकते (संगतता परीक्षण), तो साइट को सार्वजनिक रूप से उजागर करने से पहले नीचे दिए गए शमन उपायों पर आगे बढ़ें।.
3. यदि आप तुरंत अपग्रेड नहीं कर सकते हैं तो अस्थायी शमन
   • जब तक आप अपग्रेड नहीं कर सकते तब तक प्लगइन को अक्षम करें (WP डैशबोर्ड के माध्यम से निष्क्रिय करें या SFTP के माध्यम से प्लगइन फ़ोल्डर का नाम बदलें)।.
   • यदि निष्क्रिय करना संभव नहीं है, तो कमजोर अंत बिंदु पर अनुरोधों को अवरुद्ध करने और यात्रा अनुक्रमों (“../”) और संदिग्ध स्ट्रीम रैपर (php://, data:) को अवरुद्ध करने के लिए फ़ायरवॉल नियम या सर्वर-स्तरीय फ़िल्टर लागू करें।.
   • सुधार करते समय साइट को रखरखाव मोड में रखने पर विचार करें।.
4. निगरानी और स्कैन
   • एक पूर्ण साइट मैलवेयर स्कैन चलाएं और प्लगइन अंत बिंदुओं के लिए संदिग्ध अनुरोधों के लिए वेब सर्वर लॉग की जांच करें, विशेष रूप से उन अनुरोधों के लिए जिनमें यात्रा स्ट्रिंग या फ़ाइल सामग्री लौटाने वाले अनुरोध शामिल हैं।.
   • अप्रत्याशित आउटबाउंड कनेक्शनों या नए बनाए गए व्यवस्थापक उपयोगकर्ताओं की तलाश करें।.
5. क्रेडेंशियल्स को घुमाएं (यदि आप समझौते का संदेह करते हैं)
   • यदि लॉग संकेत देते हैं कि wp-config.php या अन्य संवेदनशील फ़ाइलों तक पहुंच प्राप्त की गई है, तो तुरंत डेटाबेस क्रेडेंशियल्स को घुमाएं और wp-config.php को अपडेट करें।.
   • साइट पर संग्रहीत किसी भी API कुंजी या रहस्यों को घुमाएं।.
6. बैकअप
   • परिवर्तनों से पहले एक सुरक्षित पूर्ण बैकअप बनाएं। ऑफसाइट कॉपी रखें।.

प्रयासित शोषण का पता लगाने के लिए कैसे (हमले के संकेत)

वेब सर्वर एक्सेस लॉग और वर्डप्रेस लॉग की समीक्षा करें:

• क्वेरी पैरामीटर में “../” अनुक्रमों के साथ HTTP अनुरोध (निर्देशिका यात्रा प्रयास)।.
• प्लगइन-विशिष्ट पथों या अंत बिंदुओं के लिए अनुरोध जो अप्रत्याशित पैरामीटर शामिल करते हैं।.
• प्रतिक्रियाएँ जिनमें पहचाने जाने योग्य कॉन्फ़िगरेशन या सिस्टम फ़ाइल सामग्री शामिल है।.
• 200 प्रतिक्रियाएँ जिनमें “DB_NAME”, “DB_USER”, “DB_PASSWORD” जैसी स्ट्रिंग्स शामिल हैं।.
• अनुरोध जिनमें “php://filter” या “data:” जैसे स्ट्रीम रैपर शामिल हैं।.
• संदिग्ध अनुरोधों के तुरंत बाद नए वर्डप्रेस उपयोगकर्ताओं का अचानक निर्माण या व्यवस्थापक विकल्पों में परिवर्तन।.

त्वरित जांच: अपने access.log फ़ाइलों में “ ../ ” और प्लगइन स्लग के लिए grep करें और मेल खाने वाले अनुरोधों की जांच करें।.

व्यावहारिक शमन नियम (फायरवॉल / वर्चुअल पैच विचार)

नीचे सामान्य रक्षात्मक पैटर्न हैं जिन्हें आप सर्वर नियमों, mod_security, रिवर्स प्रॉक्सी, या WAFs के माध्यम से लागू कर सकते हैं जिन्हें आप प्रबंधित करते हैं। ये संवेदनशील पैटर्न हैं जो शोषण के जोखिम को कम करने के लिए बनाए गए हैं जब तक कि एक पूर्ण पैच लागू नहीं किया जाता:

• निर्देशिका ट्रैवर्सल को ब्लॉक करें: उन अनुरोधों को अस्वीकार करें जहाँ पैरामीटर मान “ ../ ” या “ ..\ ” शामिल हैं।.
• स्ट्रीम रैपर उपयोग को ब्लॉक करें: उन अनुरोधों को अस्वीकार करें जिनमें “php://”, “data:”, “expect://”, “zip://” या “phar://” शामिल हैं।.
• अनुमत फ़ाइल नाम लागू करें: ऐसे एंडपॉइंट जो केवल संसाधन नामों के एक छोटे सेट को स्वीकार करना चाहिए, उन्हें अनुमत मानों की सफेद सूची बनानी चाहिए।.
• संदिग्ध फ़ाइल एक्सटेंशन एक्सेस को ब्लॉक करें: उन अनुरोधों को अस्वीकार करें जो नियंत्रित पैरामीटर के माध्यम से “.php” शामिल करने का प्रयास करते हैं या wp-config.php, .env, /etc/passwd जैसी फ़ाइलों को पढ़ने का प्रयास करते हैं।.
• प्लगइन एंडपॉइंट पर दोहराए जाने वाले अनधिकृत प्रयासों की दर-सीमा निर्धारित करें या अस्वीकार करें।.
• स्पष्ट रूप से दुर्भावनापूर्ण उपयोगकर्ता-एजेंट और आईपी को ब्लॉक करें जो शोषण व्यवहार प्रदर्शित करते हैं (यदि उपलब्ध हो तो गतिशील प्रतिष्ठा फ़ीड का उपयोग करें)।.

शमन को सावधानीपूर्वक लागू करें और परीक्षण करें ताकि वैध कार्यक्षमता को तोड़ने से बचा जा सके। ये नियंत्रण आपके विक्रेता पैच की योजना बनाते समय जोखिम को कम करते हैं।.

क्यों अपडेट करना अभी भी सबसे अच्छा दीर्घकालिक समाधान है

अस्थायी फ़िल्टरिंग शमन मदद करते हैं, लेकिन एकमात्र पूर्ण समाधान विक्रेता द्वारा प्रदान किए गए पैच (1.4.5) को लागू करना है जो कमजोर लॉजिक को हटा देता है या सुरक्षित सत्यापन और सफेद सूची बनाता है। एक अपडेट भविष्य के किनारे के मामलों को संबोधित करता है जो तदर्थ नियमों को चूक सकते हैं और सही सर्वर-साइड सत्यापन को बहाल करता है।.

समझौते के संकेत मिलने पर घटना प्रतिक्रिया

1. अलग करें
   • यदि संभव हो तो साइट को रखरखाव मोड में डालें या इसे ऑफ़लाइन ले जाएं।.
   • जहाँ संभव हो नेटवर्क एक्सेस को अस्थायी रूप से प्रतिबंधित करें।.
2. साक्ष्य को संरक्षित करें
   • फोरेंसिक विश्लेषण के लिए वेब सर्वर लॉग, डेटाबेस लॉग और वर्डप्रेस लॉग एकत्र करें और सुरक्षित करें।.
   • जांचकर्ताओं के लिए फ़ाइल सिस्टम और डेटाबेस का पूर्ण बैकअप बनाएं।.
3. समाप्त करें
   • वेब शेल, अनधिकृत व्यवस्थापक उपयोगकर्ताओं, संदिग्ध फ़ाइलों या क्रॉन कार्यों को हटा दें।.
   • ठीक की गई संस्करण में अपग्रेड करने के बाद एक साफ स्रोत से प्लगइन को फिर से स्थापित करें।.
   • संशोधित कोर फ़ाइलों को ज्ञात-स्वस्थ वर्डप्रेस प्रतियों से बदलें।.
4. रहस्यों और क्रेडेंशियल्स को पुनर्स्थापित करें।
   • डेटाबेस उपयोगकर्ता नाम/पासवर्ड को घुमाएं।.
   • एपीआई कुंजी, तीसरे पक्ष के क्रेडेंशियल्स और वर्डप्रेस सॉल्ट्स को घुमाएं।.
   • व्यवस्थापक पासवर्ड बदलें और जहां समर्थित हो, MFA लागू करें।.
5. विश्वास को फिर से बनाएं।
   • एक पूर्ण मैलवेयर स्कैन चलाएं और साफ स्थिति को मान्य करें।.
   • अपने होस्टिंग प्रदाता के साथ पुष्टि करें कि क्या कोई सर्वर-स्तरीय समझौता हुआ है।.
   • प्रभावित पक्षों को सूचित करें यदि डेटा निकासी हुई है, लागू कानून और नीति के अनुसार।.
6. घटना के बाद का अध्ययन।
   • हमले के वेक्टर और समयरेखा का दस्तावेजीकरण करें।.
   • हार्डनिंग चेकलिस्ट को अपडेट करें: फ़ाइल अनुमतियाँ, प्लगइन हटाने की नीति, फ़ायरवॉल कवरेज, बैकअप आवृत्ति।.
   • सुरक्षा समीक्षा की योजना बनाएं और निगरानी/अलर्टिंग में सुधार करें।.

यदि आप समझौते को संभालने में आत्मविश्वास नहीं रखते हैं, तो तुरंत एक विश्वसनीय घटना प्रतिक्रिया प्रदाता या अनुभवी सुरक्षा सलाहकार को शामिल करें।.

डेवलपर मार्गदर्शन - कैसे ठीक करें और समान बग से बचें।

यदि आप वर्डप्रेस प्लगइन्स विकसित करते हैं, तो इस प्रकार की भेद्यता को रोका जा सकता है। सुरक्षित-कोडिंग सिफारिशें:

• व्हाइटलिस्ट करें, ब्लैकलिस्ट नहीं: मान्य कुंजी को आंतरिक फ़ाइल पथों से मैप करें; कभी भी सीधे उपयोगकर्ता-प्रदत्त फ़ाइल नाम शामिल न करें।.
• गतिशील समावेश से बचें: फ़ाइल पथों को इनपुट से इकट्ठा करने के बजाय स्विच/केस या फ़ंक्शनों/टेम्पलेट्स के लिए मैपिंग का उपयोग करें।.
• पथ सामान्यीकरण और सुरक्षित जांच: realpath का उपयोग करें और सत्यापित करें कि हल किया गया पथ अनुमत निर्देशिका के भीतर है।.
• फ़ाइल रैपर उपयोग को निष्क्रिय करें: “php://”, “data:” आदि को शामिल करने वाले इनपुट को अस्वीकार करें।.
• क्षमता जांच और नॉनसेस: जहां विश्वास की आवश्यकता होती है, वहां उचित क्षमताओं (current_user_can) और नॉनसेस (wp_verify_nonce) की आवश्यकता होती है।.
• न्यूनतम विशेषाधिकार फ़ाइल अनुमतियाँ: लिखने योग्य निर्देशिकाओं को अलग रखें और जब आवश्यक न हो तो प्लगइन फ़ाइलों को वेब सर्वर द्वारा लिखने योग्य बनाने से बचें।.
• कोड समीक्षा और स्थैतिक विश्लेषण: SAST उपकरण चलाएँ और समीक्षाओं में सुरक्षा जांच शामिल करें।.
• फ़ज़ और पैठ परीक्षण अंत बिंदु: अप्रत्याशित इनपुट के खिलाफ व्यवहार को मान्य करें।.

उदाहरण सुरक्षित पैटर्न (संकल्पनात्मक):

$allowed_templates = [;

यह मैपिंग दृष्टिकोण मनमाने फ़ाइल समावेश को समाप्त करता है क्योंकि केवल ज्ञात कुंजी निश्चित फ़ाइलों से मैप होती हैं।.

WordPress साइट मालिकों के लिए हार्डनिंग चेकलिस्ट

• तुरंत कमजोर प्लगइन को 1.4.5 में अपडेट करें।.
• यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को निष्क्रिय करें जब तक आप कर न सकें या सर्वर-साइड नियम लागू करें जो यात्रा और स्ट्रीम रैपर को अवरुद्ध करते हैं।.
• नियमित मैलवेयर स्कैन और अखंडता जांच चलाएँ (फ़ाइलों की तुलना साफ़ प्लगइन स्रोतों से करें)।.
• फ़ाइल अनुमतियों को प्रतिबंधित करें (विश्व-लिखने योग्य प्लगइन या कोर फ़ाइलों से बचें)।.
• PHP कॉन्फ़िगरेशन को मजबूत करें:
  • allow_url_include = Off को निष्क्रिय करें
  • अनावश्यक फ़ाइल अपलोड को निष्क्रिय करें
  • जहाँ संभव हो open_basedir प्रतिबंधों का उपयोग करें
• बैकअप रखें और पुनर्स्थापना प्रक्रियाओं की पुष्टि करें।.
• प्रशासनिक खातों के लिए मजबूत क्रेडेंशियल और MFA लागू करें।.
• लॉग की निगरानी करें और असामान्य व्यवहार के लिए अलर्ट सेट करें।.

प्रकटीकरण और समयरेखा (सारांश)

• कमजोरियों की रिपोर्ट: 13 मई, 2025 (शोधकर्ता की खोज)
• सार्वजनिक प्रकटीकरण और बढ़ा हुआ शोषण जोखिम: अगस्त 2025
• फिक्स्ड संस्करण: 1.4.5
• CVE असाइन किया गया: CVE-2025-49271

क्योंकि प्रकटीकरण और पैच अक्सर स्वचालित शोषण की ओर ले जाते हैं, तुरंत अपडेट करें और जहां संभव हो अस्थायी सुरक्षा लागू करें।.

व्यावहारिक उदाहरण — लॉग में क्या देखना है (नमूना पैटर्न)

रक्षा के उदाहरण जो आप एक्सेस लॉग में देख सकते हैं:

• निर्देशिका ट्रैवर्सल प्रयास:
  • GET /?tag=../../../../wp-config.php
  • GET /wp-content/plugins/merge-tags/?file=../../../../etc/passwd
• स्ट्रीम रैपर प्रयास:
  • php://filter/convert.base64-encode/resource=wp-config.php
  • data://text/plain;base64,…
• अप्रत्याशित प्रतिक्रियाएँ:
  • “200 OK” प्रतिक्रियाएँ जिनमें “DB_NAME” या “DB_PASSWORD” सामग्री शामिल है”
  • फ़ाइलें जो प्लगइन पृष्ठों द्वारा लौटाई गई कॉन्फ़िगरेशन फ़ाइलों की तरह दिखती हैं

यदि आप इन पैटर्न को देखते हैं, तो साइट को अलग करें और ऊपर दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

साइट के मालिकों और टीमों के लिए संचार सलाह

• यदि आप ग्राहकों का प्रबंधन करते हैं, तो उन्हें जल्दी से कमजोरियों, उठाए जा रहे कदमों (पैच शेड्यूल, अस्थायी शमन) और किसी भी संभावित प्रभाव के बारे में सूचित करें।.
• हितधारकों को सुधार प्रगति और किसी भी समझौते के सबूत के बारे में सूचित रखें।.
• घटना और पोस्ट-मॉर्टम क्रियाओं का दस्तावेजीकरण करें ताकि पुनरावृत्ति को रोका जा सके।.

समापन: सरल प्राथमिकताएँ जिन्हें आपको नहीं छोड़ना चाहिए

1. जांचें कि GravityWP — Merge Tags प्लगइन स्थापित है और संस्करण की पुष्टि करें।.
2. यदि यह ≤ 1.4.4 है, तो तुरंत 1.4.5 में अपडेट करें।.
3. यदि आप अभी अपडेट नहीं कर सकते हैं, तो प्लगइन को अक्षम करें या सर्वर-साइड नियम लागू करें जो यात्रा और स्ट्रीम रैपर को अवरुद्ध करते हैं।.
4. साक्ष्य के लिए लॉग स्कैन करें और यदि कुछ संदिग्ध दिखता है तो क्रेडेंशियल्स को घुमाएँ।.
5. सुनिश्चित करें कि बैकअप और घटना प्रतिक्रिया प्रक्रियाएँ लागू हैं; आवश्यकतानुसार रहस्यों को घुमाएँ।.

यदि आपको वर्चुअल पैचिंग, लॉग विश्लेषण, या आपातकालीन घटना प्रतिक्रिया में सहायता की आवश्यकता है, तो तुरंत एक विश्वसनीय सुरक्षा सलाहकार या अनुभवी घटना प्रतिक्रिया प्रदाता से संपर्क करें। त्वरित, सही कार्रवाई विस्फोट क्षेत्र और पुनर्प्राप्ति की लागत को कम करती है।.

सादर,
हांगकांग वर्डप्रेस सुरक्षा प्रैक्टिशनर्स