ExtensionPedia
Browserc VPN: VPN gratuita per Chrome

Browserc VPN: VPN gratuita per Chrome

Browsec VPN è un'estensione VPN per Chrome che protegge il tuo IP dalle minacce di Internet e ti consente di navigare in modo privato e gratuito.

Analisi del rischio CVE Rilevamento comportamentale Permessi Autorizzazioni host Segreti Politica sulla riservatezza
Invia un commento
Riepilogo dei rischi

7.1 / 10

Ad alto rischio

Per la versione 3.92.14 dell'estensione

L'ultima versione
Gravità delle autorizzazioni critiche
3 CVE
Età della versione aggiornata
Manifest V3
Disponibile nel Chrome Web Store
Informativa sulla privacy disponibile
Tasso di coinvolgimento equo
CVE (3)
ID Gravità CVSS
CVE-2026-4800

Impatto: La correzione per CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) ha aggiunto la convalida per l'opzione variabile in _.template, ma non ha applicato la stessa convalida ai nomi delle chiavi di options.imports. Entrambi i percorsi confluiscono nello stesso sink del costruttore Function(). Quando un'applicazione passa input non attendibili come nomi delle chiavi di options.imports, un utente malintenzionato può iniettare espressioni con parametri predefiniti che eseguono codice arbitrario al momento della compilazione del template. Inoltre, _.template utilizza assignInWith per unire le importazioni, che enumera le proprietà ereditate tramite for..in. Se Object.prototype è stato inquinato da qualsiasi altro vettore, le chiavi inquinate vengono copiate nell'oggetto imports e passate a Function(). Patch: Gli utenti dovrebbero aggiornare alla versione 4.18.0. Soluzioni alternative: Non passare input non attendibili come nomi delle chiavi in ​​options.imports. Utilizzare solo nomi di chiavi statici controllati dallo sviluppatore.

Maggiore
8.1
CVE-2026-2950

Impatto: Le versioni di Lodash 4.17.23 e precedenti sono vulnerabili alla contaminazione dei prototipi nelle funzioni _.unset e _.omit. La correzione per (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) protegge solo dai membri chiave stringa, quindi un utente malintenzionato può aggirare il controllo passando segmenti di percorso incapsulati in array. Ciò consente l'eliminazione di proprietà da prototipi predefiniti come Object.prototype, Number.prototype e String.prototype. Il problema consente l'eliminazione delle proprietà del prototipo ma non permette di sovrascriverne il comportamento originale. Patch: Questo problema è stato corretto nella versione 4.18.0. Soluzioni alternative: Nessuna. Aggiornare alla versione corretta.

Moderato
6.5
CVE-2025-13465

Le versioni di Lodash dalla 4.0.0 alla 4.17.22 sono vulnerabili a un problema di "prototype pollution" nelle funzioni _.unset e _.omit. Un utente malintenzionato può passare percorsi appositamente creati che inducono Lodash a eliminare metodi dai prototipi globali. Il problema consente l'eliminazione delle proprietà, ma non permette di sovrascriverne il comportamento originale. Questa vulnerabilità è stata corretta nella versione 4.17.23.

Minore
0
Rilevamento comportamentale

Rilevamento comportamentale

Sblocca la matrice MITRE ATT&CK completa

Richiedi un demo
Autorizzazioni (12)
Nome Gravità
Management

Le estensioni con autorizzazione di gestione possono gestire app, estensioni e temi installati. Se l'estensione è installata forzatamente, può disabilitare altre estensioni.

critico
Richiedi lettura

Accesso al traffico di rete

critico
Scripting

Le estensioni con autorizzazione di scripting possono iniettare ed eseguire codice nelle pagine web, che può essere potenzialmente utilizzato per l'esfiltrazione di dati o il dirottamento di sessione (richiede autorizzazioni host, disponibili a partire da Manifest V3).

critico
Dati di navigazione

Le estensioni con l'autorizzazione browsingData possono rimuovere i dati di navigazione dal profilo locale di un utente, il che potrebbe causare problemi di analisi forense/registrazione.

Alto
Richiesta di rete dichiarativa

Le estensioni con l'autorizzazione declarativeNetRequest possono bloccare le richieste di rete senza richiedere autorizzazioni host, nonché reindirizzare le richieste e modificare le intestazioni se dispongono di autorizzazioni host.

Alto
Privacy

Le estensioni con autorizzazione alla privacy possono gestire le funzionalità del browser che potrebbero influire sulla privacy e sulla sicurezza dell'utente, ad esempio disattivare la protezione dal phishing (safeBrowsingEnabled).

Alto
delega

Le estensioni con autorizzazione proxy possono configurare il modo in cui viene instradato il traffico Internet dell'utente, il che può essere sfruttato per il furto di dati, attacchi man-in-the-middle (MITM), phishing e per aggirare le misure di sicurezza della rete.

Alto
Tabs

Le estensioni con autorizzazione per le schede possono interrogare l'URL, pendingUrl, title e favIconUrl di qualsiasi scheda.

Alto
allarmi

Le estensioni con l'autorizzazione degli allarmi possono pianificare l'esecuzione periodica del codice o in un momento specifico futuro.

Medio
Archiviazione

Le estensioni con autorizzazione di archiviazione possono archiviare e recuperare dati utente, che possono persistere anche dopo aver svuotato la cache e la cronologia di navigazione.

Medio
Fornitore di autorizzazione per richieste Web

Consente alle estensioni del browser di gestire le richieste di autenticazione HTTP e di fornire automaticamente le credenziali di autenticazione

Medio
sfondo

Le estensioni con autorizzazione in background possono forzare l'esecuzione invisibile del browser non appena l'utente effettua l'accesso al computer e mantenerlo in esecuzione dopo la chiusura dell'ultima finestra (finché l'utente non lo abbandona esplicitamente).

Basso
Autorizzazioni host (1)
Segreti

Nessun segreto scoperto

Non sono state rilevate chiavi API o credenziali esposte.

Informativa privacy

Informativa privacy

Sblocca la valutazione del rischio relativa all'informativa sulla privacy

Richiedi un demo