ExtensionPedia
Hola VPN - Il tuo strumento per sbloccare i siti web

Hola VPN - Il tuo strumento per sbloccare i siti web

Il modo più semplice per accedere a Internet senza confini: Hola VPN ti dà accesso ai contenuti online di tutto il mondo che desideri!

Analisi del rischio CVE Rilevamento comportamentale Permessi Autorizzazioni host Segreti Politica sulla riservatezza
Invia un commento
Riepilogo dei rischi

7.1 / 10

Ad alto rischio

Per la versione 1.251.527 dell'estensione

L'ultima versione
Gravità delle autorizzazioni critiche
1 CV
Età della versione aggiornata
Manifest V3
Disponibile nel Chrome Web Store
Informativa sulla privacy disponibile
Tasso di coinvolgimento equo
CVE (1)
ID Gravità CVSS
CVE-2026-27601

Underscore.js è una libreria di utilità per JavaScript. Prima della versione 1.13.8, le funzioni _.flatten e _.isEqual utilizzavano la ricorsione senza un limite di profondità. In condizioni molto specifiche, descritte di seguito, un utente malintenzionato poteva sfruttare questa vulnerabilità in un attacco Denial of Service (DoS) provocando un overflow dello stack. Per creare una struttura dati ricorsiva, ad esempio utilizzando JSON.parse, senza un limite di profondità imposto, era necessario utilizzare input non attendibili, come nel caso di _.flatten o _.isEqual. La vulnerabilità poteva essere sfruttata solo se un client remoto era in grado di preparare una struttura dati composta da array a tutti i livelli E se non veniva passato alcun limite di profondità finito come secondo argomento a _.flatten. Nel caso di _.isEqual, la vulnerabilità poteva essere sfruttata solo se esisteva un percorso di codice in cui due strutture dati distinte, inviate dallo stesso client remoto, venivano confrontate utilizzando _.isEqual. Ad esempio, se un client invia dati che vengono memorizzati in un database e lo stesso client può successivamente inviare un'altra struttura dati che viene poi confrontata con i dati precedentemente salvati nel database, OPPURE se un client invia una singola richiesta, ma i suoi dati vengono analizzati due volte, creando due strutture dati non identiche ma equivalenti che vengono poi confrontate. Le eccezioni originate dalla chiamata a _.flatten o _.isEqual, a seguito di un overflow dello stack, non vengono intercettate. Questa vulnerabilità è stata corretta nella versione 1.13.8.

Maggiore
7.5
Rilevamento comportamentale

Rilevamento comportamentale

Sblocca la matrice MITRE ATT&CK completa

Richiedi un demo
Autorizzazioni (10)
Nome Gravità
Cookies

Le estensioni con l'autorizzazione dei cookie possono recuperare e modificare i cookie (richiede autorizzazioni host).

critico
Management

Le estensioni con autorizzazione di gestione possono gestire app, estensioni e temi installati. Se l'estensione è installata forzatamente, può disabilitare altre estensioni.

critico
Richiedi lettura

Accesso al traffico di rete

critico
Scripting

Le estensioni con autorizzazione di scripting possono iniettare ed eseguire codice nelle pagine web, che può essere potenzialmente utilizzato per l'esfiltrazione di dati o il dirottamento di sessione (richiede autorizzazioni host, disponibili a partire da Manifest V3).

critico
Richiesta di rete dichiarativa

Le estensioni con l'autorizzazione declarativeNetRequest possono bloccare le richieste di rete senza richiedere autorizzazioni host, nonché reindirizzare le richieste e modificare le intestazioni se dispongono di autorizzazioni host.

Alto
delega

Le estensioni con autorizzazione proxy possono configurare il modo in cui viene instradato il traffico Internet dell'utente, il che può essere sfruttato per il furto di dati, attacchi man-in-the-middle (MITM), phishing e per aggirare le misure di sicurezza della rete.

Alto
Tabs

Le estensioni con autorizzazione per le schede possono interrogare l'URL, pendingUrl, title e favIconUrl di qualsiasi scheda.

Alto
Navigazione web

Le estensioni con l'autorizzazione webNavigation possono monitorare i siti web visitati dall'utente ascoltando gli eventi di navigazione.

Alto
Archiviazione

Le estensioni con autorizzazione di archiviazione possono archiviare e recuperare dati utente, che possono persistere anche dopo aver svuotato la cache e la cronologia di navigazione.

Medio
Fornitore di autorizzazione per richieste Web

Consente alle estensioni del browser di gestire le richieste di autenticazione HTTP e di fornire automaticamente le credenziali di autenticazione

Medio
Autorizzazioni host (1)
*://*/*
Segreti

Nessun segreto scoperto

Non sono state rilevate chiavi API o credenziali esposte.

Informativa privacy

Informativa privacy

Sblocca la valutazione del rischio relativa all'informativa sulla privacy

Richiedi un demo