अंडर द हूड: ‘प्रतिशत से इन्फोग्राफ़’ वर्डप्रेस प्लगइन (≤ 1.0) में सक्रिय स्टोर किया गया XSS — साइट मालिकों और डेवलपर्स को अभी क्या करना चाहिए

लेखक: हांगकांग सुरक्षा विशेषज्ञ

तारीख: 2026-02-13

नोट: यह पोस्ट एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखी गई है। यह हाल ही में प्रकट किए गए स्टोर किए गए क्रॉस-साइट स्क्रिप्टिंग (XSS) मुद्दे (CVE-2026-1939) की समीक्षा करती है जो प्रतिशत से इन्फोग्राफ़ प्लगइन (संस्करण ≤ 1.0) को प्रभावित करती है। इस भेद्यता के लिए एक प्रमाणित योगदानकर्ता खाता आवश्यक है ताकि शॉर्टकोड विशेषताओं के माध्यम से पेलोड इंजेक्ट किया जा सके। यह लेख जोखिम, पहचान, तात्कालिक शमन, डेवलपर सुधार, और व्यावहारिक, क्रियाशील कदमों के साथ दीर्घकालिक मजबूत बनाने को कवर करता है जिन्हें आप साइटों की सुरक्षा के लिए लागू कर सकते हैं।.

कार्यकारी सारांश

• क्या हुआ: प्रतिशत से इन्फोग्राफ़ वर्डप्रेस प्लगइन (संस्करण ≤ 1.0) में एक स्टोर किया गया XSS भेद्यता है जो शॉर्टकोड विशेषताओं के माध्यम से सक्रिय होती है। एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता भूमिका (या उच्च) है, एक शॉर्टकोड विशेषता में विशेष रूप से तैयार किए गए डेटा को प्रदान कर सकता है जो स्टोर किया जाता है और बाद में फ्रंट एंड पर असुरक्षित रूप से प्रदर्शित होता है।.
• दायरा: प्रभावित प्लगइन चलाने वाली साइटें और योगदानकर्ता (या उच्च) खातों को सामग्री बनाने की अनुमति देने वाली साइटें जोखिम में हैं। क्योंकि XSS स्टोर किया गया है, कोई भी आगंतुक जो प्रभावित पृष्ठ या पोस्ट को देखता है, इंजेक्टेड स्क्रिप्ट को निष्पादित कर सकता है।.
• प्रभाव: स्थायी XSS का उपयोग साइट के विकृति, आगंतुकों को पुनर्निर्देशित करने, दुर्भावनापूर्ण UI (फिशिंग) डालने, या अनुवर्ती हमलों (मैलवेयर इंजेक्शन, अनधिकृत अनुरोध, या सत्र समझौता साइट कॉन्फ़िगरेशन और टोकन एक्सपोजर के आधार पर) को सुविधाजनक बनाने के लिए किया जा सकता है। CVE-2026-1939 का CVSS स्कोर 6.5 (मध्यम) है।.
• तात्कालिक कार्रवाई: यदि आप तुरंत पैच नहीं कर सकते हैं तो प्लगइन को हटा दें या अक्षम करें। यदि आपको इसे सक्रिय रखना है, तो तात्कालिक शमन लागू करें (शॉर्टकोड आउटपुट को अक्षम करें या उसे निष्क्रिय करें), सामग्री को स्कैन और साफ करें, और योगदानकर्ता विशेषाधिकारों को सीमित करें। नीचे दिए गए चरण-दर-चरण मार्गदर्शन का पालन करें।.

पृष्ठभूमि: शॉर्टकोड, विशेषताएँ, और क्यों स्टोर किया गया XSS खतरनाक है

वर्डप्रेस शॉर्टकोड प्लगइन लेखकों को सामग्री में गतिशील आउटपुट डालने की अनुमति देते हैं, जैसे कि ब्रैकेटेड टैग्स डालकर [my_shortcode foo="bar"]. शॉर्टकोड अक्सर व्यवहार को कॉन्फ़िगर करने के लिए विशेषताएँ स्वीकार करते हैं — उदाहरण के लिए, एक प्रतिशत मान, रंग, लेबल, या लिंक।.

भेद्यता तब उत्पन्न होती है जब एक प्लगइन पोस्ट सामग्री से मनमाने विशेषता मानों को स्वीकार करता है और उन्हें उचित सत्यापन या एस्केपिंग के बिना सीधे HTML में आउटपुट करता है। यदि एक विशेषता मान में स्क्रिप्टेबल सामग्री (उदाहरण के लिए, इवेंट हैंडलर्स के साथ एम्बेडेड HTML या जावास्क्रिप्ट: URI) शामिल है और प्लगइन इसे बिना एस्केप किए पृष्ठ में निकालता है, तो वह सामग्री हर आगंतुक को भेजी जाएगी जो पृष्ठ को लोड करता है — एक क्लासिक स्टोर किया गया XSS।.

दो महत्वपूर्ण कारक:

1. एक हमलावर को एक प्रमाणित खाता चाहिए जिसमें कम से कम योगदानकर्ता विशेषाधिकार हो ताकि वह एक पोस्ट या पृष्ठ में दुर्भावनापूर्ण शॉर्टकोड विशेषताएँ डाल सके।.
2. दुर्भावनापूर्ण पेलोड साइट डेटाबेस में सहेजा जाता है और बाद में जब पोस्ट को देखा जाता है तब निष्पादित होता है — अक्सर प्रशासकों, संपादकों, या नियमित साइट आगंतुकों द्वारा।.

क्योंकि स्टोर किया गया पेलोड साइट संदर्भ में निष्पादित होता है, एक हमलावर इसका दुरुपयोग कर सकता है ताकि हानिकारक क्रियाएँ की जा सकें, जो इस पर निर्भर करती हैं कि इन-पृष्ठ JavaScript क्या एक्सेस कर सकता है।.

एक हमलावर क्या कर सकता है (हमला परिदृश्य)

स्टोर किया गया XSS शक्तिशाली है क्योंकि यह बना रहता है और कई उपयोगकर्ताओं तक पहुँचता है। व्यावहारिक जोखिमों में शामिल हैं:

• आगंतुक पुनर्निर्देशन और धोखाधड़ी ओवरले: जावास्क्रिप्ट इंजेक्ट करें जो आगंतुकों को फ़िशिंग डोमेन पर पुनर्निर्देशित करता है या नकली लॉगिन/भुगतान UI ओवरले करता है।.
• ड्राइव-बाय मैलवेयर वितरण: स्क्रिप्ट इंजेक्ट करें जो क्रिप्टोमाइनर्स या अन्य दुर्भावनापूर्ण पेलोड लोड करते हैं।.
• विशेषाधिकार वृद्धि और खाता अधिग्रहण: लॉगिन किए गए प्रशासकों (CSRF + XSS) के रूप में क्रियाएँ करने के लिए XSS का उपयोग करें, जैसे कि प्रशासक खाते बनाना या सेटिंग्स बदलना।.
• डेटा एक्सफिल्ट्रेशन: यदि जावास्क्रिप्ट गैर-HttpOnly टोकन, विश्लेषण कुकीज़, या पृष्ठ-निर्मित संवेदनशील डेटा तक पहुँच सकता है, तो यह उस डेटा को हमलावर सर्वरों पर निकाल सकता है।.
• पार्श्व आंदोलन: बैकडोर लगाने, फ़ाइलें अपलोड करने, या थीम/प्लगइन कोड को बदलने के लिए प्रमाणित सत्रों का उपयोग करें।.

नोट: हर स्टोर किया गया XSS स्वचालित रूप से पूर्ण अधिग्रहण की ओर नहीं ले जाता — वृद्धि साइट कॉन्फ़िगरेशन, कुकी फ़्लैग, CSRF सुरक्षा, और कौन सा संवेदनशील डेटा उपलब्ध है, पर निर्भर करती है। फिर भी, स्टोर किया गया XSS एक महत्वपूर्ण प्रवेश बिंदु है और तात्कालिक ध्यान की आवश्यकता है।.

योगदानकर्ता विशेषाधिकार क्यों महत्वपूर्ण है — और यह क्यों सुरक्षित नहीं है

• कई साइटें अतिथि लेखन या सामुदायिक योगदानकर्ताओं को स्वीकार करती हैं; ये खाते प्राप्त करना आसान हो सकते हैं।.
• समझौता किए गए योगदानकर्ता क्रेडेंशियल्स (पुनः उपयोग किए गए पासवर्ड, फ़िशिंग) एक सामान्य प्रारंभिक foothold हैं।.
• योगदानकर्ता पोस्ट बना सकते हैं और शॉर्टकोड डाल सकते हैं; स्टोर किए गए पेलोड तब निष्पादित होते हैं जब अन्य उपयोगकर्ता सामग्री देखते हैं।.
• अंदरूनी खतरों या कमजोर अनुमोदन कार्यप्रवाहों से जोखिम बढ़ता है।.

विशेषाधिकार की आवश्यकता के साथ भी, स्टोर किया गया XSS एक महत्वपूर्ण जोखिम बना रहता है।.

पहचान: कैसे पता करें कि आपकी साइट प्रभावित हुई थी

यदि आप प्रभावित प्लगइन चला रहे हैं, तो संभावित जोखिम मानें और संकेतों की खोज करें।.

1. शॉर्टकोड उपयोग के लिए डेटाबेस खोजें

   WP-CLI या सीधे DB क्वेरीज़ का उपयोग करें ताकि उन पोस्ट और पोस्टमेटा को खोजा जा सके जो प्लगइन के शॉर्टकोड टैग को शामिल करते हैं।.

   wp पोस्ट सूची --post_type=पोस्ट,पृष्ठ --format=ids | xargs -n1 -I % wp पोस्ट प्राप्त करें % --field=post_content --format=json | jq -r '.post_content' | grep -n '\[percent'

   या एक DB क्वेरी (पहले बैकअप लें):

   SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[percent%';

2. सामग्री में स्क्रिप्ट टैग या संदिग्ध विशेषताओं के लिए स्कैन करें

   देखें <script>, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, या जावास्क्रिप्ट: विशेषताओं में। उदाहरण WP-CLI रिपोर्ट:

   wp post list --format=ids | xargs -n1 -I % wp post get % --field=post_content | grep -E -n '<script|onerror=|onload=|javascript:' || echo "कोई संकेत नहीं"

3. संशोधनों और लेखक की गतिविधियों की जांच करें

   प्रकटीकरण विंडो के दौरान योगदानकर्ताओं द्वारा किए गए पोस्ट संशोधनों और संपादनों की समीक्षा करें।.

   wp post get  --field=post_modified wp post list --post_type=post --fields=ID,post_author,post_title,post_modified

4. असामान्य व्यवस्थापक व्यवहार और आउटगोइंग कनेक्शनों की तलाश करें

   अप्रत्याशित नए व्यवस्थापक खाते, फ़ाइल परिवर्तनों, या दुर्भावनापूर्ण अनुसूचित घटनाएँ (wp_cron) आगे के समझौते का संकेत दे सकती हैं। फ़ाइल अखंडता और क्रोन प्रविष्टियों को स्कैन करें।.

5. सर्वर लॉग

   संदिग्ध POSTs या बार-बार सामग्री अपडेट के लिए वेब सर्वर लॉग की जांच करें। यदि आप एक WAF संचालित करते हैं, तो शॉर्टकोड से संबंधित पैटर्न के लिए नियम-प्रेरित घटनाओं की समीक्षा करें।.

हमेशा बड़े बदलाव करने से पहले एक पूर्ण बैकअप लें।.

तात्कालिक निवारण (साइट मालिक चेकलिस्ट - अभी लागू करें)

यदि आप कमजोर प्लगइन चला रहे हैं और आधिकारिक पैच का इंतजार नहीं कर सकते, तो प्रभाव और आसानी के क्रम में इन चरणों का पालन करें:

1. एक पूर्ण बैकअप लें (फाइलें + DB)।. कोई भी सुधार लागू करने से पहले यह करें।.
2. प्लगइन को निष्क्रिय या हटा दें (सबसे तेज़, सबसे विश्वसनीय)।. यदि प्लगइन आवश्यक नहीं है, तो इसे निष्क्रिय करें जब तक कि एक स्थिर संस्करण उपलब्ध न हो। यह कमजोर शॉर्टकोड रेंडरिंग को हटा देता है।.
3. शॉर्टकोड को निष्क्रिय करें (यदि आपको प्लगइन सक्रिय रखना है)।.

   प्लगइन के शॉर्टकोड हैंडलर को एक सुरक्षित नो-ऑप के साथ बदलें ताकि शॉर्टकोड सामग्री में बने रहें लेकिन कुछ भी न दिखाएं। अपने थीम में जोड़ें functions.php या एक mu-plugin के लिए:

   <?php;

   यह किसी भी संग्रहीत पेलोड को निष्पादित करने से रोकता है जबकि सामग्री को बाद में स्वच्छता के लिए बरकरार रखता है।.

4. शॉर्टकोड का उपयोग करने वाले संग्रहीत पोस्ट को स्कैन और स्वच्छ करें।.

   शॉर्टकोड वाले पोस्ट की पहचान करें और या तो खतरनाक विशेषताओं को हटा दें या शॉर्टकोड को पूरी तरह से हटा दें। पोस्ट आईडी को निर्यात करें, मैन्युअल रूप से समीक्षा करें, और फिर एक सुरक्षित स्क्रिप्ट के माध्यम से अपडेट या हटा दें।.

5. योगदानकर्ता क्षमताओं को सीमित करें और उपयोगकर्ताओं की समीक्षा करें।.

   अस्थायी रूप से योगदानकर्ता या उच्चतर विशेषाधिकारों को रद्द करें या कड़ी नियंत्रण करें। सामग्री निर्माताओं और प्रशासकों के लिए मजबूत पासवर्ड की आवश्यकता करें और जहां संभव हो, बहु-कारक प्रमाणीकरण लागू करें।.

6. सामग्री मॉडरेशन कार्यप्रवाह को मजबूत करें।.

   यदि आप दूरस्थ योगदानकर्ताओं को स्वीकार करते हैं, तो सामग्री लाइव होने से पहले संपादकीय समीक्षा लागू करें।.

7. प्रभाव को सीमित करने के लिए एक सामग्री सुरक्षा नीति (CSP) जोड़ें।.

   CSP उचित एस्केपिंग का विकल्प नहीं है, लेकिन एक प्रतिबंधात्मक CSP (इनलाइन स्क्रिप्ट की अनुमति न देना) मानक को बढ़ाता है:

   13. 6. समझौते के लिए स्कैन करें;

   साइट के टूटने का पता लगाने के लिए पहले रिपोर्ट-केवल मोड में CSP लागू करें।.

8. शोषण के संकेतों की निगरानी करें।. वेब लॉग, संदिग्ध डोमेन के लिए आउटगोइंग XHRs, और हाल के प्रशासनिक परिवर्तनों की समीक्षा करें।.

संग्रहीत सामग्री को सुरक्षित रूप से साफ करना

मौजूदा पोस्ट को स्वच्छ करने के लिए सावधानी की आवश्यकता होती है - हमेशा बैकअप लें और स्टेजिंग पर परीक्षण करें।.

1. प्रभावित पोस्ट को एक स्टेजिंग साइट पर निर्यात करें और वहां स्वच्छता करें।.
2. सामग्री को पार्स करने, शॉर्टकोड मेलों को खोजने, विशेषताओं को मान्य करने और खतरनाक भागों को हटाने के लिए एक स्क्रिप्ट का उपयोग करें। उदाहरण (WP वातावरण में चलाएं और पहले परीक्षण करें):

<?php

स्टेजिंग पर स्वच्छता और सत्यापन के बाद, साफ की गई सामग्री को उत्पादन में स्थानांतरित करें। कई पोस्ट के लिए स्क्रिप्टेड क्लीनअप का उपयोग करें लेकिन हमेशा मैन्युअल रूप से नमूनों को मान्य करें।.

1. डेवलपर मार्गदर्शन: XSS को रोकने के लिए शॉर्टकोड कैसे ठीक करें

2. प्लगइन लेखकों और डेवलपर्स के लिए, उचित इनपुट मान्यता और संदर्भ-जानकारी वाली एस्केपिंग आवश्यक हैं। मुख्य नियम:

1. 3. विशेषताओं को जल्दी मान्य और सामान्य करें।. उपयोग करें shortcode_atts() 4. डिफ़ॉल्ट सेट करने और अपेक्षित विशेषताओं की व्हाइटलिस्ट बनाने के लिए। संख्यात्मक विशेषताओं को कास्ट करें और रंग प्रारूपों को मान्य करें।.
2. 5. संदर्भ के अनुसार सभी आउटपुट को एस्केप करें।.
   • HTML विशेषता संदर्भ: esc_attr()
   • 6. HTML तत्व सामग्री संदर्भ: esc_html()
   • 7. यदि सीमित HTML की अनुमति है, तो उपयोग करें wp_kses() एक सख्त अनुमति सूची के साथ।.

   8. उदाहरण सुरक्षित रेंडरिंग:

   $atts = shortcode_atts(array('<div class="pt-infograph">';'<span class="pt-label">' . esc_html($label) . '</span>';'<span class="pt-value" style="color:' . esc_attr($color) . '">' . esc_html($value) . '%</span>';'</div>';

3. 9. कच्चे HTML या विशेषता स्ट्रिंग्स को आउटपुट करने से बचें जो सीधे उपयोगकर्ता सामग्री से आई हैं।.
4. उपयोग करें wp_kses_post() 10. या सीमित HTML के लिए एक सख्त wp_kses 11. अनुमति सूची।.
5. 12. असुरक्षित आउटपुट पैटर्न का पता लगाने के लिए स्वचालित परीक्षण और स्थैतिक विश्लेषण जोड़ें 13.। जितनी जल्दी हो सके, स्वच्छता करें।.
6. 14. इनपुट/सेव पर स्वच्छता लागू करें जहां उपयुक्त हो, केवल आउटपुट पर नहीं।. 15. यदि एक प्लगइन को एक उन्नत विशेषता के लिए समृद्ध HTML स्वीकार करना चाहिए, तो प्रकाशन से पहले सर्वर-साइड व्हाइटलिस्टिंग या एक प्रशासक अनुमोदन कार्यप्रवाह लागू करें।.

16. WAF और आभासी पैचिंग - एक फ़ायरवॉल क्या कर सकता है (तटस्थ, सामरिक मार्गदर्शन).

17. जबकि अपस्ट्रीम पैच सही दीर्घकालिक समाधान है, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या समान फ़िल्टरिंग परत तात्कालिक आभासी पैचिंग प्रदान कर सकती है:

18. उन POST अनुरोधों को ब्लॉक करें जो स्क्रिप्ट मार्कर (जैसे,

• 19. ) वाले शॉर्टकोड विशेषताओं को सहेजने का प्रयास करते हैं, जब उन्हें निम्न-विशेषाधिकार वाले खातों द्वारा बनाया गया हो।, <script>, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, जावास्क्रिप्ट:) जब निम्न-अधिकार खातों द्वारा बनाया गया।.
• REST API या प्रशासनिक POSTs में सामग्री पैरामीटर का निरीक्षण करें और उन्हें साफ करें जो पोस्ट सामग्री को अपडेट करते हैं।.
• झूठे सकारात्मक को कम करने के लिए प्रभावित शॉर्टकोड टैग के लिए विशिष्ट पैटर्न को लक्षित करने वाले नियम लागू करें।.
• संदिग्ध पेलोड पैटर्न के साथ सामग्री प्रस्तुत करने वाले योगदानकर्ताओं को झंडा लगाएं और थ्रॉटल करें।.

उदाहरणात्मक अवधारणात्मक पहचान नियम (केवल विवरण): यदि पोस्ट सामग्री को अपडेट करने वाला अनुरोध शॉर्टकोड टैग और स्क्रिप्ट-जैसे मार्करों के साथ विशेषता मानों को शामिल करता है, तो अवरोध करें या अतिरिक्त सत्यापन की आवश्यकता करें।.

निगरानी और दीर्घकालिक सख्ती

1. प्रकाशन/संपादन क्षमताओं वाले उपयोगकर्ताओं की संख्या को न्यूनतम करें; न्यूनतम विशेषाधिकार लागू करें।.
2. किसी भी व्यक्ति के लिए मजबूत प्रमाणीकरण और दो-कारक प्रमाणीकरण की आवश्यकता करें जो सामग्री प्रकाशित कर सकता है।.
3. XSS और अन्य इंजेक्शन वेक्टर का पता लगाने के लिए उत्पादन और स्टेजिंग पर आवधिक स्वचालित स्कैनिंग (SAST/DAST) चलाएं।.
4. संभावित XSS के प्रभाव को कम करने के लिए अपनी साइट के लिए ट्यून की गई सामग्री सुरक्षा नीति (CSP) का उपयोग करें।.
5. तेज़ पहचान के लिए फ़ाइल अखंडता निगरानी, परिवर्तन पहचान, और केंद्रीकृत लॉगिंग लागू करें।.
6. तृतीय-पक्ष प्लगइन डेवलपर्स के लिए एक भेद्यता प्रकटीकरण प्रक्रिया बनाए रखें और सुरक्षा खुफिया फ़ीड्स की सदस्यता लें।.
7. प्लगइन/थीम अपडेट के लिए स्टेजिंग वातावरण का उपयोग करें और उत्पादन में तैनाती से पहले सुरक्षा परीक्षण चलाएं।.

जिम्मेदार प्रकटीकरण और समयरेखा

यह मुद्दा एक स्वतंत्र शोधकर्ता द्वारा शोधित और रिपोर्ट किया गया था और CVE-2026-1939 सौंपा गया था। प्रकटीकरण के समय संस्करण ≤ 1.0 के लिए कोई सार्वजनिक अपस्ट्रीम पैच नहीं था; बिना पैच किए जोखिम मानें और शमन लागू करें।.

यदि आप एक प्लगइन डेवलपर हैं: शोधकर्ता के साथ समन्वय करें, पुन: उत्पन्न करें, समय पर पैच प्रदान करें, और स्पष्ट सुधार निर्देश प्रकाशित करें। यदि आप एक साइट के मालिक हैं: रिलीज पर पैचिंग को प्राथमिकता दें लेकिन इस बीच आभासी पैच और सख्ती लागू करें।.

व्यावहारिक उदाहरण: त्वरित कमांड और स्क्रिप्ट (सुरक्षित, गैर-शोषण)

सुरक्षित संचालन के उदाहरण (स्टेजिंग पर परीक्षण करें):

wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[percent_to_infograph%'" --skip-column-names

add_action('init', function() {;

wp post list --format=ids | xargs -n1 -I % sh -c 'wp post get % --field=post_content | grep -E -n "<script|onerror=|onload=|javascript:" && echo "post id: %"' || true

इन उपकरणों का उपयोग केवल तभी करें जब आप WP-CLI और बैकअप वर्कफ़्लोज़ को समझते हों।.

समापन और चेकलिस्ट (सुरक्षित स्थिति से संचालन करें)

यदि आप प्रभावित प्रतिशत को इन्फोग्राफ़ प्लगइन (≤ 1.0) चलाते हैं, तो अब इस प्राथमिकता वाली चेकलिस्ट का पालन करें:

1. अपनी साइट का बैकअप लें (फाइलें + DB)।.
2. यदि आप कर सकते हैं तो प्लगइन को निष्क्रिय/हटाएं।.
3. यदि आपको इसे सक्रिय रखना है, तो सामग्री को साफ करते समय इसके शॉर्टकोड हैंडलर को निष्क्रिय करें।.
4. किसी भी पोस्ट/पृष्ठ की पहचान करें और साफ करें जो प्लगइन शॉर्टकोड को शामिल करते हैं।.
5. योगदानकर्ता (और उच्च) खातों की समीक्षा करें और प्रतिबंधित करें; मजबूत प्रमाणीकरण और 2FA लागू करें।.
6. एक CSP लागू करें और जहां संभव हो, कुकीज़ को HttpOnly/Secure/SameSite बनाएं।.
7. एक मैलवेयर स्कैन चलाएं और संदिग्ध गतिविधियों के लिए लॉग की निगरानी करें।.
8. सुधार करते समय अल्पकालिक वर्चुअल पैचिंग या WAF नीतियों पर विचार करें।.

स्टोर की गई XSS हमलावरों को आपके डेटाबेस में पेलोड को बनाए रखने और बिना बार-बार प्रयास किए उपयोगकर्ताओं तक पहुंचने की अनुमति देती है। भले ही एक पैच लंबित हो, ऊपर की परतदार क्रियाएँ जोखिम को कम करेंगी और एक पूर्ण सुधार लागू करने के लिए समय खरीदेंगी।.

सतर्क रहें — हांगकांग सुरक्षा विशेषज्ञ