ExtensionPedia
Sider: Chatujte se všemi AI: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Chatujte se všemi AI: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude, Grok, vše v jednom postranním panelu s umělou inteligencí pro vyhledávání, čtení a zápis s využitím umělé inteligence.

Analýza rizik CVE Behaviorální detekce Oprávnění Oprávnění hostitele Tajemství Zásady ochrany osobních údajů
Odeslat názor
Shrnutí rizik

7.1 / 10

High Risk

Pro rozšíření verze 5.25.10

Nejnovější verze
Závažnost kritických oprávnění
3 CVE
Aktualizovaná verze Stáří
Manifest V3
K dispozici v Internetovém obchodě Chrome
Zásady ochrany osobních údajů k dispozici
Spravedlivá míra zapojení
CVE (3)
ID Přísnost CVSS
CVE-2026-4800

Dopad: Oprava chyby CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) přidala ověření pro proměnnou option v _.template, ale nepoužila stejné ověření pro názvy klíčů options.imports. Obě cesty ústí do stejné jímky konstruktoru Function(). Když aplikace předává nedůvěryhodný vstup jako názvy klíčů options.imports, může útočník vložit výrazy s výchozími parametry, které spustí libovolný kód při kompilaci šablony. _.template navíc používá ke sloučení importů metodu assignInWith, která vyjmenovává zděděné vlastnosti pomocí metody for..in. Pokud byl objekt Object.prototype kontaminován jiným vektorem, kontaminované klíče se zkopírují do objektu imports a předají se do Function(). Opravy: Uživatelé by měli upgradovat na verzi 4.18.0. Alternativní řešení: Nepředávejte nedůvěryhodný vstup jako názvy klíčů v options.imports. Používejte pouze statické názvy klíčů kontrolované vývojáři.

Hlavní
8.1
CVE-2026-2950

Dopad: Lodash verze 4.17.23 a starší jsou zranitelné vůči znečištění prototypů ve funkcích _.unset a _.omit. Oprava pro (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) chrání pouze před členy řetězcového klíče, takže útočník může kontrolu obejít předáním segmentů cesty zabalených do pole. To umožňuje odstranění vlastností z vestavěných prototypů, jako jsou Object.prototype, Number.prototype a String.prototype. Problém umožňuje odstranění vlastností prototypů, ale neumožňuje přepsat jejich původní chování. Opravy: Tento problém je opraven ve verzi 4.18.0. Řešení: Žádná. Upgradujte na opravenou verzi.

Středně
6.5
CVE-2025-13465

Verze Lodash 4.0.0 až 4.17.22 jsou zranitelné vůči znečištění prototypů ve funkcích _.unset a _.omit. Útočník může předat vytvořené cesty, které způsobí, že Lodash smaže metody z globálních prototypů. Tento problém umožňuje smazání vlastností, ale neumožňuje přepsat jejich původní chování. Tento problém byl opraven ve verzi 4.17.23.

Menší
0
Behaviorální detekce

Behaviorální detekce

Odemkněte celou matici MITRE ATT&CK

Požádejte o demo
Oprávnění (12)
Jméno Přísnost
Cookies

Rozšíření s oprávněním k souborům cookie mohou načítat a upravovat soubory cookie (vyžaduje oprávnění hostitele).

kritický
Skriptování

Rozšíření s oprávněním ke skriptování mohou vkládat a spouštět kód na webových stránkách, což může být potenciálně použito k úniku dat nebo únosu relace (vyžaduje oprávnění hostitele, dostupná od Manifest V3).

kritický
Deklarativní síťový požadavek

Rozšíření s oprávněním declarativeNetRequest mohou blokovat síťové požadavky bez nutnosti oprávnění hostitele a přesměrovávat požadavky a upravovat hlavičky, pokud mají oprávnění hostitele.

Vysoký
Zachycení karty

Rozšíření s oprávněním tabCapture mohou zachytit obsah libovolné karty. Funkce tabCapture musí být vyvolána gestem uživatele, pokud není rozšíření vynuceně nainstalováno. V takovém případě může rozšíření zachytit obrazovku bez zásahu uživatele.

Vysoký
Tabs

Rozšíření s oprávněním pro přístup k tabulátorům mohou dotazovat URL, pendingUrl, title a favIconUrl libovolného tabulátoru.

Vysoký
Neomezený

Rozšíření s oprávněním unlimitedStorage nemají žádná omezení kvóty úložiště pro chrome.storage.local, IndexedDB, Cache Storage a Origin Private File System.

Vysoký
Alarmy

Rozšíření s oprávněním k alarmům mohou naplánovat spouštění kódu pravidelně nebo v určený čas v budoucnosti.

Střední
Kontextové nabídky

Rozšíření s oprávněním contextMenus mohou přidávat položky do kontextové nabídky prohlížeče (známé také jako kontextová nabídka pravého tlačítka myši).

Střední
Off Screen

Použijte rozhraní Offscreen API k vytváření a správě dokumentů mimo obrazovku.

Střední
Boční panel

Rozšíření s oprávněním sidePanel mohou zobrazovat obsah v bočním panelu prohlížeče vedle hlavního obsahu webové stránky, což umožňuje trvalé rozhraní, které doplňuje prohlížení uživatele (k dispozici od Manifestu V3).

Střední
Skladování

Rozšíření s oprávněním k ukládání mohou ukládat a načítat uživatelská data, která mohou přetrvávat i po vymazání mezipaměti a historie prohlížení.

Střední
Aktivní tab

Rozšíření s oprávněním activeTab mohou dočasně přistupovat k aktivní kartě, včetně vkládání skriptů a úpravy obsahu, ale pouze pokud jsou explicitně vyvolána gestem uživatele. Přístup je odebrán, když uživatel kartu zavře nebo odejde. Ve srovnání s , activeTab je bezpečnější, protože neumožňuje trvalý přístup.

Nízké
Oprávnění hostitele (2)
https://*.openai.com/
Tajemství

Žádná tajemství nenalezena

Nebyly zjištěny žádné odhalené klíče API ani přihlašovací údaje.

Zásady ochrany osobních údajů

Zásady ochrany osobních údajů

Odemknout posouzení rizik zásad ochrany osobních údajů

Požádejte o demo