ExtensionPedia
Sider: Chatea con todas las IA: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Chatea con todas las IA: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude y Grok, todo en una barra lateral de IA, para búsqueda, lectura y escritura mediante IA.

Análisis de riesgo CVE Detecciones de comportamiento Permisos Permisos de host Secrets Playa Esmeralda Resort & Spa Política de privacidad
Enviar comentarios
Resumen de riesgo

7.1 / 10

Alto Riesgo

Para la versión de extensión 5.25.10

Ultima versión
Gravedad de los permisos críticos
3 CVEs
Edad de la versión actualizada
Manifiesto V3
Disponible en Chrome Web Store
Política de privacidad disponible
Tasa de participación justa
CVEs (3)
ID Gravedad CVSS
CVE-2026-4800

Impacto: La corrección para CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) agregó validación para la opción variable en _.template pero no aplicó la misma validación a los nombres de clave de options.imports. Ambas rutas fluyen al mismo sumidero del constructor Function(). Cuando una aplicación pasa entrada no confiable como nombres de clave de options.imports, un atacante puede inyectar expresiones de parámetros predeterminados que ejecutan código arbitrario en el tiempo de compilación de la plantilla. Además, _.template usa assignInWith para fusionar importaciones, que enumera propiedades heredadas a través de for..in. Si Object.prototype ha sido contaminado por cualquier otro vector, las claves contaminadas se copian en el objeto imports y se pasan a Function(). Parches: Los usuarios deben actualizar a la versión 4.18.0. Soluciones alternativas: No pase entrada no confiable como nombres de clave en options.imports. Use solo nombres de clave estáticos controlados por el desarrollador.

Sistemas fluviales
8.1
CVE-2026-2950

Impacto: Las versiones 4.17.23 y anteriores de Lodash son vulnerables a la contaminación de prototipos en las funciones _.unset y _.omit. La corrección para (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) solo protege contra miembros de clave de cadena, por lo que un atacante puede eludir la verificación pasando segmentos de ruta envueltos en array. Esto permite la eliminación de propiedades de prototipos integrados como Object.prototype, Number.prototype y String.prototype. El problema permite la eliminación de propiedades de prototipo pero no permite sobrescribir su comportamiento original. Parches: Este problema está parcheado en 4.18.0. Soluciones alternativas: Ninguna. Actualizar a la versión parcheada.

Moderado
6.5
CVE-2025-13465

Las versiones de Lodash de la 4.0.0 a la 4.17.22 son vulnerables a la contaminación de prototipos en las funciones _.unset y _.omit. Un atacante puede introducir rutas manipuladas que provocan que Lodash elimine métodos de prototipos globales. Este problema permite la eliminación de propiedades, pero no la sobrescritura de su comportamiento original. Este problema se ha corregido en la versión 4.17.23.

Clasificacion "Minor"
0
Detecciones de comportamiento

Detecciones de comportamiento

Desbloquea la matriz completa de MITRE ATT&CK

Solicitar una demo
Permisos (12)
Nombre Gravedad
Cookies

Las extensiones con permiso de cookies pueden recuperar y modificar cookies (requiere permisos de host).

Critical
scripting

Las extensiones con permiso de scripting pueden inyectar y ejecutar código en páginas web, que potencialmente puede usarse para la exfiltración de datos o el secuestro de sesiones (requiere permisos de host, disponibles desde Manifest V3).

Critical
Solicitud de red declarativa

Las extensiones con el permiso declarativeNetRequest pueden bloquear solicitudes de red sin requerir permisos de host y redirigir solicitudes y modificar encabezados si tiene permisos de host.

Alto
Captura de pestaña

Las extensiones con el permiso tabCapture pueden capturar el contenido de cualquier pestaña. tabCapture debe invocarse mediante un gesto del usuario, a menos que la extensión se instale a la fuerza, en cuyo caso puede capturar la pantalla sin interacción del usuario.

Alto
Pestañas (Tabs)

Las extensiones con el permiso de pestañas pueden consultar la URL, la URL pendiente, el título y la URL de favIcon de cualquier pestaña.

Alto
Almacenamiento ilimitado

Las extensiones con el permiso unlimitedStorage no tienen restricciones de cuota de almacenamiento para chrome.storage.local, IndexedDB, Cache Storage y el sistema de archivos privado de Origin.

Alto
Alarmas:

Las extensiones con el permiso de alarmas pueden programar el código para que se ejecute periódicamente o en un momento específico en el futuro.

Media
Menús contextuales

Las extensiones con el permiso contextMenus pueden agregar elementos al menú contextual del navegador (también conocido como menú de clic derecho).

Media
Fuera de la pantalla

Utilice la API fuera de pantalla para crear y administrar documentos fuera de pantalla.

Media
Panel Lateral

Las extensiones con el permiso sidePanel pueden mostrar contenido en el panel lateral del navegador junto con el contenido principal de una página web, lo que permite una interfaz persistente que complementa la experiencia de navegación del usuario (disponible desde Manifest V3).

Media
Almacenaje

Las extensiones con permiso de almacenamiento pueden almacenar y recuperar datos del usuario, que pueden persistir incluso después de borrar el caché y el historial de navegación.

Media
Pestaña activa

Las extensiones con el permiso activeTab pueden acceder temporalmente a la pestaña activa, incluyendo la inyección de scripts y la modificación de contenido, pero solo cuando son invocadas explícitamente por un gesto del usuario. El acceso se revoca cuando el usuario cierra la pestaña o navega a otra pestaña. En comparación con , activeTab es más seguro ya que no otorga acceso persistente.

Bajo
Permisos del anfitrión (2)
https://*.openai.com/
Secrets Playa Esmeralda Resort & Spa

No se encontraron secretos

No se detectaron claves API ni credenciales expuestas.

Política de privacidad

Política de privacidad

Desbloquea la evaluación de riesgos de la política de privacidad

Solicitar una demo