Akamai übernimmt LayerX und bietet damit umfassende Sicherheit und Echtzeit-KI-Nutzungskontrolle.

Mehr erfahren
ExtensionPedia
Hola VPN – Ihr Website-Entblocker

Hola VPN – Ihr Website-Entblocker

Hola VPN ist der einfachste Weg zum grenzenlosen Internet und ermöglicht Ihnen den Zugriff auf die gewünschten globalen Online-Inhalte!

Risikozusammenfassung

7.1 / 10

Hohes Risiko

Für Erweiterungsversion 1.253.755

Letzte Version
Schweregrad kritischer Berechtigungen
1 CVE
Aktualisierte Version Alter
Manifest V3
Faire Engagement-Rate
CVEs (1)
ID Schwere CVSS
CVE-2026-27601

Underscore.js ist eine Hilfsbibliothek für JavaScript. Vor Version 1.13.8 verwendeten die Funktionen `_.flatten` und `_.isEqual` Rekursion ohne Tiefenbegrenzung. Unter bestimmten, im Folgenden beschriebenen Bedingungen konnte ein Angreifer dies für einen Denial-of-Service-Angriff (DoS) ausnutzen, indem er einen Stack-Overflow auslöste. Dazu müssen nicht vertrauenswürdige Eingaben verwendet werden, um eine rekursive Datenstruktur zu erstellen, beispielsweise mit `JSON.parse`, ohne erzwungene Tiefenbegrenzung. Die so erstellte Datenstruktur muss dann an `_.flatten` oder `_.isEqual` übergeben werden. Im Fall von `_.flatten` kann die Schwachstelle nur ausgenutzt werden, wenn ein entfernter Client eine Datenstruktur erstellen kann, die auf allen Ebenen aus Arrays besteht UND wenn keine endliche Tiefenbegrenzung als zweites Argument an `_.flatten` übergeben wird. Im Fall von `_.isEqual` kann die Schwachstelle nur ausgenutzt werden, wenn ein Codepfad existiert, in dem zwei unterschiedliche, vom selben entfernten Client übermittelte Datenstrukturen mit `_.isEqual` verglichen werden. Wenn beispielsweise ein Client Daten an eine Datenbank sendet und später eine weitere Datenstruktur sendet, die mit den zuvor gespeicherten Daten verglichen wird, oder wenn ein Client eine einzelne Anfrage sendet, dessen Daten aber zweimal analysiert werden, wodurch zwei nicht identische, aber äquivalente Datenstrukturen entstehen, die anschließend verglichen werden, werden Ausnahmen, die durch einen Stack-Overflow beim Aufruf von `_.flatten` oder `_.isEqual` entstehen, nicht abgefangen. Diese Sicherheitslücke wurde in Version 1.13.8 behoben.

Dur
7.5
Verhaltenserkennung

Verhaltenserkennung

Schalten Sie die vollständige MITRE ATT&CK-Matrix frei

Demo anfordern
Berechtigungen (10)
Name Schwere
Cookies

Erweiterungen mit der Cookie-Berechtigung können Cookies abrufen und ändern (erfordert Host-Berechtigungen).

Kritische
Verwaltung

Erweiterungen mit Verwaltungsberechtigung können Ihre installierten Apps, Erweiterungen und Designs verwalten. Wenn die Erweiterung zwangsweise installiert wird, kann sie andere Erweiterungen deaktivieren.

Kritische
Leseanforderung

Zugriff auf den Netzwerkverkehr

Kritische
Scripting

Erweiterungen mit der Skriptberechtigung können Code in Webseiten einfügen und ausführen, der möglicherweise zur Datenexfiltration oder zum Session-Hijacking verwendet werden kann (erfordert Hostberechtigungen, verfügbar seit Manifest V3).

Kritische
Deklarative Nettoanforderung

Erweiterungen mit der Berechtigung „declarativeNetRequest“ können Netzwerkanforderungen blockieren, ohne dass Hostberechtigungen erforderlich sind, und Anforderungen umleiten und Header ändern, wenn sie über Hostberechtigungen verfügen.

Hoch
Proxy

Erweiterungen mit Proxy-Berechtigung können die Weiterleitung des Internetverkehrs des Benutzers konfigurieren, was für Datendiebstahl, Man-in-the-Middle-Angriffe (MITM), Phishing und die Umgehung von Netzwerksicherheitsmaßnahmen ausgenutzt werden kann.

Hoch
Tabs

Erweiterungen mit der Berechtigung „Tabs“ können die URL, die ausstehende URL, den Titel und die FavIcon-URL jedes Tabs abfragen.

Hoch
Webnavigation

Erweiterungen mit der Berechtigung „webNavigation“ können die vom Benutzer besuchten Websites verfolgen, indem sie Navigationsereignisse abhören.

Hoch
Lagerung

Erweiterungen mit Speicherberechtigung können Benutzerdaten speichern und abrufen, die auch nach dem Löschen des Cache und des Browserverlaufs bestehen bleiben können.

Medium
Web Request Auth-Anbieter

Ermöglicht Browsererweiterungen die Verarbeitung von HTTP-Authentifizierungsanfragen und die automatische Bereitstellung von Authentifizierungsdaten

Medium
Host-Berechtigungen (1)
*://*/*
Secrets

Keine Geheimnisse gefunden

Es wurden keine offengelegten API-Schlüssel oder Anmeldeinformationen festgestellt.

Datenschutzbestimmungen

Datenschutzbestimmungen

Datenschutzrichtlinien-Risikobewertung freischalten

Demo anfordern