ExtensionPedia
Hola VPN - Débloquez votre site web

Hola VPN - Débloquez votre site web

Hola VPN, le moyen le plus simple d'accéder à Internet sans frontières, vous donne accès au contenu en ligne mondial que vous souhaitez !

Analyse de risque CVE Détections comportementales Permissions Autorisations de l'hôte Secrets Playa Esmeralda Resort & Spa Privacy policy
Envoyer un commentaire
Résumé des risques

7.1 / 10

Risque élevé

Pour la version d'extension 1.253.755

Dernière version
Gravité des autorisations critiques
1 XNUMX XNUMX CVE
Version mise à jour Âge
Manifeste V3
Disponible sur le Chrome Web Store
Politique de confidentialité disponible
Taux d'engagement équitable
CVE (1)
ID Gravité CVSS
CVE-2026-27601

Underscore.js est une bibliothèque utilitaire pour JavaScript. Avant la version 1.13.8, les fonctions `_.flatten` et `_.isEqual` utilisaient la récursivité sans limite de profondeur. Dans des conditions très spécifiques, détaillées ci-dessous, un attaquant pouvait exploiter cette vulnérabilité lors d'une attaque par déni de service (DoS) en provoquant un dépassement de capacité de la pile. Il était nécessaire d'utiliser des données non fiables pour créer une structure de données récursive, par exemple avec `JSON.parse`, sans limite de profondeur. La structure de données ainsi créée devait ensuite être transmise à `_.flatten` ou `_.isEqual`. Concernant `_.flatten`, la vulnérabilité n'était exploitable que si un client distant pouvait préparer une structure de données composée de tableaux à tous les niveaux ET si aucune limite de profondeur n'était spécifiée comme second argument. Concernant `_.isEqual`, la vulnérabilité n'était exploitable que s'il existait un chemin d'exécution où deux structures de données distinctes, soumises par le même client distant, étaient comparées à l'aide de `_.isEqual`. Par exemple, si un client soumet des données stockées dans une base de données, puis soumet ultérieurement une autre structure de données qui est comparée aux données précédemment enregistrées, ou encore si un client soumet une requête unique dont les données sont analysées deux fois, créant ainsi deux structures de données non identiques mais équivalentes qui sont ensuite comparées, les exceptions provenant de l'appel à `_.flatten` ou `_.isEqual`, dues à un dépassement de capacité de la pile, ne sont pas interceptées. Cette vulnérabilité est corrigée dans la version 1.13.8.

Majeurs
7.5
Détections comportementales

Détections comportementales

Débloquez la matrice complète MITRE ATT&CK

Démonstration de la plateforme
Autorisations (10)
Nom Gravité
Cookies

Les extensions avec l'autorisation des cookies peuvent récupérer et modifier les cookies (nécessite des autorisations d'hôte).

Critical
Direction

Les extensions disposant de l'autorisation de gestion peuvent gérer vos applications, extensions et thèmes installés. Une installation forcée peut désactiver d'autres extensions.

Critical
Demande de lecture

Accès au trafic réseau

Critical
Scripting

Les extensions avec l'autorisation de script peuvent injecter et exécuter du code dans les pages Web, ce qui peut potentiellement être utilisé pour l'exfiltration de données ou le détournement de session (nécessite des autorisations d'hôte, disponibles depuis Manifest V3).

Critical
Requête Net déclarative

Les extensions avec l'autorisation declarativeNetRequest peuvent bloquer les requêtes réseau sans nécessiter d'autorisations d'hôte, rediriger les requêtes et modifier les en-têtes si elles disposent d'autorisations d'hôte.

Haute
procuration

Les extensions avec l'autorisation proxy peuvent configurer la manière dont le trafic Internet de l'utilisateur est acheminé, ce qui peut être exploité pour le vol de données, les attaques de l'homme du milieu (MITM), le phishing et le contournement des mesures de sécurité du réseau.

Haute
Tabs

Les extensions avec l'autorisation des onglets peuvent interroger l'URL, l'en attenteUrl, le titre et l'icône favIconUrl de n'importe quel onglet.

Haute
Navigation Web

Les extensions avec l'autorisation webNavigation peuvent suivre les sites Web visités par l'utilisateur en écoutant les événements de navigation.

Haute
Stockage

Les extensions avec l'autorisation de stockage peuvent stocker et récupérer des données utilisateur, qui peuvent persister même après avoir vidé le cache et l'historique de navigation.

Moyenne
Fournisseur d'authentification de requête Web

Permet aux extensions de navigateur de gérer les demandes d'authentification HTTP et de fournir automatiquement les informations d'identification d'authentification

Moyenne
Autorisations de l'hôte (1)
*://*/*
Secrets Playa Esmeralda Resort & Spa

Aucun secret trouvé

Aucune clé API ni aucun identifiant exposé n'a été détecté.

Politique de confidentialité

Politique de confidentialité

Déverrouiller l'évaluation des risques liés à la politique de confidentialité

Démonstration de la plateforme