ExtensionPedia
Sider: Razgovarajte sa svim AI-ima: GPT-5, Claude, DeepSeek, Gemini, Grok

Sider: Razgovarajte sa svim AI-ima: GPT-5, Claude, DeepSeek, Gemini, Grok

ChatGPT, DeepSeek, Gemini, Claude, Grok sve u jednoj AI bočnoj traci, za AI pretraživanje, čitanje i pisanje.

Analiza rizika CVE-ovi Detekcija ponašanja Dozvole Dozvole hosta Tajne Izjava o privatnosti
Pošalji Feedback
Sažetak rizika

7.1 / 10

Visoki rizik

Za verziju proširenja 5.25.10

Najnovija verzija
Ozbiljnost kritičnih dozvola
3 CVE-ova
Starost ažurirane verzije
Manifest V3
Dostupno u Chrome web-trgovini
Dostupna je politika privatnosti
Poštena stopa angažmana
CVE (3)
ID Ozbiljnost CVSS
CVE-2026-4800

Utjecaj: Ispravak za CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) dodao je validaciju za varijablu option u _.template, ali nije primijenio istu validaciju na nazive ključeva options.imports. Oba puta teku u isti konstruktor Function(). Kada aplikacija prosljeđuje nepouzdani ulaz kao nazive ključeva options.imports, napadač može ubrizgati izraze zadanih parametara koji izvršavaju proizvoljni kod tijekom kompilacije predloška. Osim toga, _.template koristi assignInWith za spajanje uvoza, koji nabraja naslijeđena svojstva putem for..in. Ako je Object.prototype zagađen bilo kojim drugim vektorom, zagađeni ključevi se kopiraju u objekt imports i prosljeđuju u Function(). Zakrpe: Korisnici bi trebali nadograditi na verziju 4.18.0. Zaobilazna rješenja: Nemojte prosljeđivati ​​nepouzdani ulaz kao nazive ključeva u options.imports. Koristite samo statičke nazive ključeva koje kontroliraju programeri.

Glavni
8.1
CVE-2026-2950

Utjecaj: Lodash verzije 4.17.23 i starije ranjive su na zagađenje prototipova u funkcijama _.unset i _.omit. Ispravak za (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) štiti samo od članova ključa stringa, tako da napadač može zaobići provjeru prosljeđivanjem segmenata puta omotanih nizom. To omogućuje brisanje svojstava iz ugrađenih prototipova kao što su Object.prototype, Number.prototype i String.prototype. Problem dopušta brisanje svojstava prototipa, ali ne dopušta prepisivanje njihovog izvornog ponašanja. Zakrpe: Ovaj je problem zakrpan u verziji 4.18.0. Zaobilazna rješenja: Nema. Nadogradite na zakrpanu verziju.

Umjereno
6.5
CVE-2025-13465

Lodash verzije od 4.0.0 do 4.17.22 su ranjive na zagađenje prototipova u funkcijama _.unset i _.omit. Napadač može proslijediti izrađene putanje koje uzrokuju da Lodash izbriše metode iz globalnih prototipova. Problem dopušta brisanje svojstava, ali ne dopušta prepisivanje njihovog izvornog ponašanja. Ovaj problem je zakrpan u verziji 4.17.23.

Maloljetnik
0
Detekcija ponašanja

Detekcija ponašanja

Otključaj cijelu MITRE ATT&CK matricu

Zatražite Demo
Dozvole (12)
Ime Ozbiljnost
Cookies

Proširenja s dopuštenjem za kolačiće mogu dohvaćati i mijenjati kolačiće (potrebna su dopuštenja hosta).

Kritično
Scripting

Proširenja s dopuštenjem za skriptiranje mogu ubrizgavati i izvršavati kod na web stranicama, što se potencijalno može koristiti za krađu podataka ili otimanje sesije (zahtijeva dopuštenja hosta, dostupna od Manifesta V3).

Kritično
Deklarativni mrežni zahtjev

Proširenja s deklarativnim dopuštenjem NetRequest mogu blokirati mrežne zahtjeve bez potrebe za dopuštenjima hosta te preusmjeravati zahtjeve i mijenjati zaglavlja ako imaju dopuštenja hosta.

visok
Snimanje kartice

Proširenja s dopuštenjem tabCapture mogu snimiti sadržaj bilo koje kartice. tabCapture treba pozvati korisničkom gestom, osim ako proširenje nije prisilno instalirano, u kojem slučaju može snimiti zaslon bez interakcije korisnika.

visok
Kartice

Proširenja s dopuštenjem za kartice mogu slati upite za url, pendingUrl, title i favIconUrl bilo koje kartice.

visok
Neograničen Priče

Proširenja s dopuštenjem unlimitedStorage nemaju ograničenja kvote pohrane za chrome.storage.local, IndexedDB, Cache Storage i Origin Private File System.

visok
Alarmi

Proširenja s dopuštenjem za alarme mogu zakazati periodično izvršavanje koda ili u određeno vrijeme u budućnosti.

Srednji
Kontekstni izbornici

Proširenja s dozvolom contextMenus mogu dodavati stavke u kontekstni izbornik preglednika (također poznat kao izbornik desne tipke miša).

Srednji
Isključen zaslon

Koristite Offscreen API za izradu i upravljanje dokumentima izvan zaslona.

Srednji
Bočna ploča

Proširenja s dozvolom sidePanel mogu prikazivati ​​sadržaj u bočnoj ploči preglednika uz glavni sadržaj web stranice, omogućujući trajno sučelje koje nadopunjuje korisnikovo pregledavanje (dostupno od Manifesta V3).

Srednji
Čuvanje

Proširenja s dopuštenjem za pohranu mogu pohranjivati ​​i dohvaćati korisničke podatke, koji mogu ostati sačuvani čak i nakon brisanja predmemorije i povijesti pregledavanja.

Srednji
Aktivna kartica

Proširenja s dopuštenjem activeTab mogu privremeno pristupiti aktivnoj kartici, uključujući umetanje skripti i mijenjanje sadržaja, ali samo kada se to izričito pozove gestom korisnika. Pristup se opoziva kada korisnik zatvori karticu ili napusti stranicu. U usporedbi s , activeTab je sigurniji jer ne odobrava trajni pristup.

Nizak
Dozvole hosta (2)
https://*.openai.com/
Tajne

Nisu pronađene tajne

Nisu otkriveni izloženi API ključevi ili vjerodajnice

Politika privatnosti

Politika privatnosti

Otključaj procjenu rizika pravila o privatnosti

Zatražite Demo